СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Softline
23 марта
#Статьи #ИБ

О классификации вредоносных программ в 2026 году

О классификации вредоносных программ в 2026 году

Изображение: grok

Термин Malware (вредоносное программное обеспечение, ВПО) объединяет любые программы или код, созданные с целью нанесения ущерба устройству, данным или пользователю. Два десятилетия назад классификация была проще: вирус прикреплялся к файлу, червь полз по сети, троян притворялся полезным софтом. Сегодня вредоносный код стал мультиформатным и невероятно адаптивным.

За последние десятилетия эволюция зловредов шла по экспоненте. Еще недавно главной головной болью были массовые вирусные эпидемии. Сейчас акцент сместился в сторону тихих, целевых и высокотехнологичных атак. В материале Кибер Медиа рассказывается об основных тенденциях, которые сформировались в сегодняшнем ландшафте киберугроз.

Что определяет особенности современного ВПО

Самый значимый тренд последних двух лет — генеративный ИИ в руках злоумышленников. Вредоносное ПО больше не пишется исключительно человеком: ИИ-ассистенты помогают создавать полиморфный код, который мутирует быстрее, чем сигнатуры попадают в антивирусные базы.

Александр Сердобольский

Аналитик по информационной безопасности компании ICL Services

Достоверно оценить то, было ли создано ВПО при помощи или с поддержкой ИИ-инструментария, достаточно сложно. Тем не менее, такие экземпляры, как PromptFlux, FRUITSHELL или LameHug, явно указывают на то, что мы будем видеть все больше и больше угроз, созданных с помощью ИИ или нацеленных на их эксплуатацию.

Артем Иванов

Аналитик данных группы развития ML-технологий ГК «Солар»

Атаки с помощью вредоносного ПО, созданного и модифицированного с помощью ИИ, стремительно растут. В 2025 году было публично задокументировано, например, появление программы-вымогателя PromtLock, созданной с помощью LLM (языковой модели gpt-oss-20b). ИИ используется злоумышленниками на всех этапах: от генерации реалистичного фишинга и создания полиморфного кода для обхода сигнатур до автоматизации поиска и эксплуатации уязвимостей. Появились даже сервисы по подписке (Deepfakes as a Service) и автономные инструменты вроде Hexstrike-AI, способные за 10 минут сканировать периметр, эксплуатировать уязвимости и закрепляться в системе.

Еще один важный фактор: атаки на цепочки поставок (Supply Chain) вошли в норму. Взлом одного легитимного разработчика ПО или обновления позволяет зловреду попасть на миллионы устройств. Поэтому защита репозиториев и CI/CD-пайплайнов стала такой же критичной, как защита периметра сети.

Современные зловреды больше не привязаны к Windows. С ростом популярности macOS в корпоративном секторе и *nix-систем в облаках, malware научилось одинаково хорошо работать в разных средах. Особое внимание уделяется мобильным ОС и встроенным системам (IoT). Стандартом становятся fileless-атаки — злоумышленники предпочитают не оставлять следов на диске. Вредоносный код выполняется в памяти, используя легитимные системные инструменты (PowerShell, WMI, Python). В 2026 году детектирование таких атак требует поведенческого анализа, а не простого сканирования файлов.

Наконец, в последние годы все больше набирает обороты модель ransomware-as-a-service (RaaS). Операторы предлагают не просто программу-шифровальщик, а целый пакет услуг: техподдержку, услуги по ведению переговоров, чтобы жертвы быстрее платили, слив данных. Все чаще встречаются случаи двойного и даже тройного шантажа.

Классификация malware по-прежнему необходима — она помогает выстраивать стратегию защиты. В 2026 году зловреды удобно рассматривать с трех сторон:

  1. По способу распространения и поведения — вирусы, черви, трояны.
  2. По конечной цели — шифровальщики, стилеры, майнеры, бэкдоры.
  3. По среде обитания — для Windows, Linux, macOS, Android, iOS, IoT.

Дальше рассмотрим типы существующего ВПО, учитывая их специфику в 2026 году.

Вирусы в 2026 году: живое поведение, продвинутая маскировка

Классические компьютерные вирусы — одни из старейших представителей семейства вредоносного ПО. Их главная отличительная черта всегда заключалась в способности внедрения своего кода в другие исполняемые файлы, скрипты или документы. Долгое время вирусы были главной головной болью пользователей, но к 2020-м годам с развитием антивирусов некоторые эксперты поспешили объявить их вымирающим видом. Оказалось, что это поспешное решение. Сейчас вирусы стали частью комбинированных атак. Вирусный компонент отвечает за размножение и закрепление, а затем загружает из C2-сервера троян, шифровальщик или майнер.

Чистые файловые вирусы в том виде, в каком они существовали в эпоху Windows XP, действительно встречаются реже. Сигнатурные антивирусные сервисы научились отслеживать подозрительные модификации файлов. Однако вирусы как класс эволюционировали и научились прятаться там, куда традиционная защита заглядывает реже.

Александр Сердобольский

Аналитик по информационной безопасности компании ICL Services

Современные метаморфные вирусы вместо шифрования могут полностью перестроить, переписать, и/или перевести свой исполняемый код, в связи с чем их обнаружение традиционными сигнатурными методами становится практически невозможным. Тем не менее, классическая обфускация кода, использование упаковщиков, сжатие и шифрование вредоносного кода, все еще остаются крайне популярными и эффективными способами обхода антивирусных решений.

Антон Чумаков

Руководитель департамента информационной безопасности компании Axoft

ВПО прячут в архивах, зачастую высылая пароль от архива следующим письмом, предполагая, что антивирус открыть архив не сможет, а человек откроет и автоматически его запустит. Кроме того, использование вредоносом легитимных инструментов (PowerShell, WMI, командная строка) усложняет его идентификацию и позволяет дольше оставаться в системе, а реализация так называемой безфайловой атаки позволяет практически не оставлять в ней следов. С другой стороны, современные антивирусы умеют находить артефакты ВПО, указывающие на безфайловую атаку.

Вместо того чтобы внедряться в EXE-файлы, современные вирусы предпочитают макросы в документах Microsoft Office, скрипты JavaScript или VBS. Пользователь открывает вроде бы безобидный документ, что активирует вредоносный код, который начинает заражать другие документы или шаблоны.

Как уже говорилось, один из самых опасных векторов сейчас — это атаки на цепочки поставок через легитимный софт. Злоумышленники взламывают репозитории разработчиков и внедряют вредоносный код в установщики популярных программ. В 2026 году такие атаки стали более изощренными: вирус проверяет среду и активируется только в сетях крупных компаний, оставаясь неактивным на тестовых стендах разработчика.

С развитием кроссплатформенных фреймворков появились вирусы, написанные на языках высокого уровня, чей код может выполняться в разных ОС. Например, Python-вирус, упакованный в исполняемый файл, способен заражать и Windows, и Linux-системы. Более того, вирусы в 2026 году стали полиморфными: они умеют менять свой код при каждом заражении. С помощью встроенных ИИ-алгоритмов они модифицируют свою сигнатуру, оставаясь невидимыми для сигнатурного анализа. Детект таких угроз возможен только на поведенческом уровне.

Черви: тихое распространение по сети

Черви — ближайшие родственники вирусов, но с одной важной особенностью: им не нужен файл-носитель, чтобы путешествовать. Они самостоятельно перемещаются между компьютерами и сетями, используя уязвимости в протоколах, ошибки конфигурации или человеческую доверчивость.

В нулевых и десятых годах черви Blaster, Sasser, Conficker выводили из строя целые корпоративные сети за считанные часы. Их главным оружием была скорость распространения и способность эксплуатировать zero-day-уязвимости без участия пользователя. Как и с вирусами, к середине 2020-х казалось, что эта эпоха закончилась: межсетевые экраны стали умнее, патчи стали выходить быстрее, а уязвимостей в сетевых сервисах стало меньше. Но и здесь злоумышленникам удалось изменить тактику.

Хотя массовые эпидемии ушли в прошлое, черви стали частью сложных, многоступенчатых атак и работают в связке с другими видами вредоносного ПО. Самый частый сценарий использования червя сегодня — это движение внутри уже скомпрометированной сети. Злоумышленники получают первоначальный доступ (через фишинг, уязвимый веб-сервер или подкуп сотрудника), а затем запускают ВПО, которое сканирует внутреннюю сеть, находит уязвимые или плохо сконфигурированные системы и распространяется дальше.

Владислав Шелепов

Аналитик угроз GSOC компании «Газинформсервис»

Типичный вектор доставки не меняется уже достаточно долгое время. Первый этап, чаще всего, таргетированный фишинг, использующий письма с вредоносными вложениями или ссылками. Также точкой входа может быть эксплуатация уязвимостей в публичных приложениях. После этого выполняется цепочка действий с использованием уязвимостей (например, CVE в MS Office) для выполнения кода, вследствие которой на диск или в память загружается дроппер, чья задача — установить связь с C2-сервером и скачать более функциональный бэкдор или троян. После этого уже происходит выполнение основной полезной нагрузки, горизонтальное перемещение, эскалация привилегий и выполнение целей.

Современные черви активно используют легитимные административные инструменты: PSExec, WMI, WinRM, SCHtasks. Такой подход может не вызвать подозрений у систем безопасности, потому что действия выглядят как обычная работа администратора.

Александр Сердобольский

Аналитик по информационной безопасности компании ICL Services

В последнее время, согласно отчетам ENISA и Microsoft, эффективность сигнатурного и статического анализа против новых угроз упала до долей процента, и они не могут служить полноценными самостоятельными методами защиты.

Черви эволюционировали и научились «ползать» по каналам, которые считаются условно безопасными: мессенджерам и облачным сервисам. В последние два года зафиксированы случаи распространения вредоносных ссылок через Telegram, WhatsApp, корпоративные мессенджеры вроде Slack и Teams. Червь, попав на устройство, рассылает контактам вредоносные сообщения от имени жертвы. Пользователи доверяют сообщениям от знакомых — так червь получает возможность для дальнейшего распространения.

С развитием интернета вещей и проникновением цифровых технологий в промышленность стали появляться IoT- и OT-черви. Умные камеры, маршрутизаторы, принтеры, системы управления отоплением и даже промышленные контроллеры часто работают на устаревших прошивках с известными уязвимостями. Червь, попавший в такую среду, может годами жить незамеченным, собирая данные или ожидая команды. В случае с промышленным оборудованием последствия могут проявиться в физическом мире — это стало очевидно после атаки Stuxnet, которая ударила по иранской ядерной программе.

Распространение через съемные носители — еще один пример мнимого анахронизма. В 2026 году USB-носители продолжают использоваться в закрытых контурах, на производстве, в медицинском оборудовании. Червь на флешке, подключенной к зараженному компьютеру, может работать при подключении к изолированной системе, где нет антивирусов с актуальными базами. Такие атаки часто используются для преодоления физически изолированных сетей (air gap).

Троянские программы: новые грани многофункциональности

Трояны — один из самых многочисленных и разнообразных классов вредоносного ПО. В отличие от вирусов и червей, они не умеют саморазмножаться, зато способны отлично маскироваться под полезные или безобидные программы. Если в 1990-е и 2000-е трояны были относительно примитивны (один троян — одна функция), то сейчас это полноценные программные комплексы, способные выполнять десятки задач, обновляться с сервера, подгружать дополнительные модули и адаптироваться под конкретную жертву.

В 2026 году трояны стали модульными платформами, которые после установки загружают с управляющего сервера именно тот набор функций, который нужен злоумышленнику в данной конкретной системе. Банковские трояны, одна из старейших категорий, ориентированы на кражу платежных данных, учетных записей интернет-банкинга, криптовалютных кошельков. Они умеют обходить двухфакторную аутентификацию, перехватывать SMS, push-уведомления, а в некоторых случаях — подменять интерфейс банковского приложения на поддельный (оверлейные атаки).

Владислав Шелепов

Аналитик угроз GSOC компании «Газинформсервис»

Есть большое множество доступных инструментов, которые могут помочь в исследовании ВПО. Дизассемблеры/декомпиляторы и отладчики — Ghidra, IDA Pro Freeware, x32/x64dbg — для анализа кода и работы ВПО, одни из главных инструментов вирусных аналитиков. PE-анализаторы, такие как PEStudio. Песочницы, например, ANY.RUN и Sandboxie. А также могут пригодиться анализаторы сетевого трафика, к примеру wireshark, и сервисы для работы с индикаторами (IoC) — VirusTotal, AlienVault OTX. Стоит отметить, что применять перечисленные инструменты и изучать ВПО в целом, удобнее и безопаснее всего в изолированных виртуальных машинах.

Стилеры воруют данные из браузеров: сохраненные пароли, cookie-файлы, истории посещений, данные автозаполнения форм. Кроме того, они собирают информацию из почтовых клиентов, мессенджеров, FTP-клиентов, игровых аккаунтов. Стилеры часто продаются как сервис в даркнете — купил доступ, собрал данные, продал или использовал.

Бэкдоры и RAT (Remote Access Trojans) предоставляют злоумышленнику удаленный доступ к зараженной машине. Это средство полноценного управления компьютером жертвы: он обеспечивает запуск программ, просмотр файлов, включение камеры и микрофона, перехват нажатий клавиш. RAT-трояны — распространенный инструмент APT-группировок для долгого присутствия в сети.

Дропперы и загрузчики сами по себе они не несут вредоносной нагрузки, но позволяют проникнуть в систему, закрепиться и скачать с сервера основное ВПО. Такое malware часто использует обфускацию и техники уклонения, чтобы антивирусы не распознали вредонос до того, как он подтянет основные модули.

Шпионское ПО: смартфон как сообщник киберпреступника

Если трояны чаще ориентированы на кражу денег или управление устройством, то шпионское ПО (spyware) преследует цель сбора информации. Представители этого класса ВПО фиксируют нажатия клавиш, делают скриншоты, включают камеру и микрофон, перехватывают сообщения из мессенджеров и передают все оператору. Это серьезное оружие как в руках киберпреступников, так и в арсеналах APT-группировок, занимающихся промышленным или политическим шпионажем.

Шпионы маскируются под полезные приложения (фонарики, сканеры QR-кодов, калькуляторы) и запрашивают разрешения на доступ к контактам, микрофону, камере, хранилищу. После установки они работают в фоне, незаметно передавая данные.

Антон Чумаков

Руководитель департамента информационной безопасности компании Axoft

В последние годы производители современных песочниц начали реализовывать виртуальные машины, максимально похожие на рабочие станции потенциальных жертв. Например, мы знаем, что ВПО проверяет папку «Документы», значит, в песочнице в этой папке должны лежать документы. Мы знаем, что вредонос, основной жертвой которого является бухгалтер, проверяет наличие на рабочей станции установленной «1C:Бухгалтерия». Значит, она должна быть установлена в песочнице. Мы знаем, что ВПО проверяет плавность движения мыши при открытии файла, содержащего ВПО, это значит, что курсор должен двигаться не просто из точки А в точку Б по идеальной прямой, а иметь более «человеческое» движение.

Самая классическая категория spyware — кейлоггеры, которые применяются для записи нажатий клавиш, особенно когда речь идет о вводе паролей на защищенных сайтах, где перехват трафика затруднен. Это позволяет злоумышленникам получать пароли и тексты писем, перехватывать содержание переговоров. Современные кейлоггеры умеют работать на уровне ядра ОС, что делает их практически незаметными.

Скриншотеры делают периодические снимки экрана и потому особенно опасны для организаций, работающих с конфиденциальными документами: чертежами, отчетами, базами данных. В связке с кейлоггером скриншоты дают полную картину деятельности пользователя.

Cam-and-mic-программы незаметно активируют веб-камеру и микрофон на пользовательском устройстве. Нынешние зловреды стали особенно изощренными: они включают запись, если в помещении есть люди, с которыми может говорить жертва, или активируются после произнесения ключевых слов. Это экономит трафик и снижает риск обнаружения.

Перехватчики мессенджеров — специализированные модули, которые вытаскивают переписку из Telegram, WhatsApp, Slack, Teams. Похитители документов сканируют диски в поисках файлов с определенными расширениями (.doc,.xls,.pdf и т.д.) и отправляют их на сервер. Такое malware используется в целевых атаках на конструкторские бюро, научные институты, юридические фирмы.

Ярослав Яцкевич

Аналитик информационной безопасности SkyDNS

Если раньше пытались «спрятать файл» (пакер/полиморфизм), то сейчас ставка делается на обход самой архитектуры endpoint-защиты: агента, телеметрии и доверенных контуров исполнения. Поэтому все чаще видим fileless и living-off-the-land, инъекции в легитимные процессы, выполнение в памяти, side-loading, а также маскировку под штатную админ-деятельность. Отдельный пласт — целевые техники против EDR: уход мимо user-mode-мониторинга, подмена контекста выполнения (чтобы «картинка» выглядела легитимно), «ослепление» ETW/телеметрии и попытки отключить защиту.

Как и другие классы ВПО, шпионы активно эволюционируют. Сейчас spyware часто идет в качестве компонента более сложной платформы, который загружается после того, как троян или червь обеспечили доступ в систему. Набор модулей зависит от целей атаки: если нужно следить за бухгалтером — ставят кейлоггер и скриншоты; если за разработчиком — похититель исходного кода.

Растет использование легитимных системных механизмов. На Android шпионы массово эксплуатируют Accessibility Service — функцию, созданную для людей с ограниченными возможностями, но дающую широкие возможности для перехвата данных. На Windows все чаще используется ETW (Event Tracing for Windows) и другие встроенные средства диагностики.

Spyware сейчас все реже пишет данные на диск, работая в оперативной памяти, а для передачи данных используя легитимные облачные сервисы (Google Drive, Dropbox, Telegram).

Рекламное ПО: больше, чем просто назойливость

Рекламное ПО (adware) долгое время считалось «легковесной» категорией вредоносных программ — надоедливым, но не слишком опасным. Оно показывало баннеры в браузере, подменяло поисковую выдачу, вставляло ссылки в веб-страницы, но не воровало пароли и не шифровало файлы. Такой вредонос попадал на устройство вместе с условно-бесплатным софтом, показывал баннеры и не особо скрывался. Пользователь знал (или догадывался), откуда берутся всплывающие окна, но мог игнорировать без серьезных последствий для себя. Как выяснилось, такое malware тоже может приносить значительный материальный ущерб и приводить к утечкам данных.

К середине 2020-х adware стало многофункциональным инструментом мошеннической монетизации, который часто работает в связке с более опасными видами ВПО и служит проводником для троянов, стилеров и даже шифровальщиков.

Сегодняшние представители семейства adware также встраиваются в браузеры через расширения и дополнения, которые пользователь устанавливает добровольно (или не очень). Так ВПО получает доступ ко всем данным на веб-страницах, чтобы не только подменять рекламные блоки, но и вставляют вредоносные ссылки, перенаправлять трафик через мошеннические партнерские программы. Зловред фактически шпионит за поведением пользователя: какие сайты тот посещает, что ищет, на что кликает. Эта информация продается рекламным сетям или используется для показа более «качественной» (и более опасной) рекламы.

Adware меняет поисковую систему по умолчанию и подсовывает пользователю результаты, за которые злоумышленники получают оплату за клики. Качество поиска падает, пользователь попадает на потенциально опасные сайты. Некоторые рекламные вредоносы включают майнер в фоновом режиме, когда компьютер простаивает. Это уже не совсем реклама, но механизм распространения тот же — через бандлы и фейковые установщики.

Руткиты: скрытая угроза

Руткиты занимают особое место в классификации вредоносного ПО: это не столько самостоятельная категория ВПО, сколько технология маскировки. Главная задача такой программы — скрыть присутствие других вредоносных агентов или собственных компонентов от средств обнаружения: антивирусов, систем мониторинга, самого пользователя.

Термин пришел из мира Unix, где «root» — учетная запись суперпользователя, а «kit» — набор инструментов. Руткиты внедряются в различные уровни операционной системы и перехватывают системные вызовы. Когда антивирус запрашивает список файлов в папке, руткит перехватывает запрос и удаляет из ответа упоминания своих компонентов. Когда пользователь открывает диспетчер задач, руткит скрывает свои процессы. Система думает, что все чисто, хотя заражение уже произошло.

В зависимости от уровня внедрения руткиты делятся на несколько категорий:

  • Пользовательский режим: ВПО работает на уровне приложений, подменяя библиотеки или внедряя код в процессы. Такие руткиты относительно просты в создании, но и обнаруживаются легче.
  • Ядро: внедряются в ядро операционной системы, благодаря чему имеют полный контроль над системой и могут скрывать любую активность. Обнаружение таких руткитов требует загрузки с доверенного носителя или использования специализированных инструментов.
  • Загрузка: эти руткиты заражают загрузчик операционной системы или главную загрузочную запись (MBR/GPT). Они активируются еще до старта ОС, поэтому могут обойти практически любую защиту. В 2010-х стали популярны зловреды, заражавшие UEFI ((Unified Extensible Firmware Interface), — так называемые UEFI-руткиты.
  • Виртуализация: это редкий, но крайне опасный вид руткитов, который запускает операционную систему внутри виртуальной машины, перехватывая управление на самом низком уровне. В результате «гостевая» ОС не подозревает, что работает не на реальном железе.

К 2026 году роль руткитов изменилась по сравнению с прежними десятилетиями. Массовые заражения через буткиты стали редкостью — это слишком сложно и дорого. Вместо этого руткиты применяются для целевых атак, шпионажа и долговременного присутствия.

UEFI-руткиты сейчас являются угрозой номер один, сменив классические MBR-руткиты. Они живут в энергонезависимой памяти материнской платы, переживают переустановку ОС и замену жесткого диска. Обнаружить такой руткит крайне сложно, а удалить — часто проще выкинуть материнскую плату.

С развитием технологий виртуализации злоумышленники научились превращать зараженную систему в «гостевую», запуская ее под управлением вредоносного гипервизора. Операционная система работает как обычно, но все, что она делает, контролируется руткитом. Обнаружить такой уровень вмешательства практически невозможно без аппаратного анализа.

Интернет вещей, промышленные контроллеры, сетевое оборудование — все они работают под управлением прошивок, которые редко обновляются и плохо защищены. Руткиты для таких систем позволяют злоумышленникам годами оставаться незамеченными внутри корпоративной сети, собирая данные или ожидая команд.

Вместо того чтобы писать свой код, злоумышленники все чаще используют уязвимости в подписанных драйверах. Они загружают легитимный, но уязвимый драйвер, который уже имеет доверие системы, и через него выполняют вредоносные действия. Эта техника (Bring Your Own Vulnerable Driver) позволяет обходить проверки целостности кода.

Некоторые современные руткиты не оставляют файлов на диске, существуя только в памяти или реестре. После перезагрузки они исчезают, но если заражение произошло через загрузчик или прошивку, они могут появиться снова.

Логические и time-бомбы: оружие замедленного действия

Логические бомбы и тайм-бомбы стоят особняком в классификации вредоносного ПО. Это своеобразные вредоносные сценарии — фрагменты кода, встроенные в легитимное программное обеспечение или скрипты, которые активируются при наступлении определенных условий. Например, такой вредоносный код может заработать при увольнении или смене должности конкретного сотрудника из базы данных, отключении определенного сервиса, нажатии определенной комбинации клавиш, достижении счетчиком заданного значения, наступлении конкретной даты, дня недели, времени суток. До момента срабатывания «бомбы» могут никак не проявляться, проходя все проверки безопасности.

Ярослав Яцкевич

Аналитик информационной безопасности SkyDNS

Практика обхода [систем защиты] обычно прагматичная. Во-первых, замедление и длинные ожидания, проверка таймингов, отложенная активация, зависимость от длительной интеракции. Во-вторых, сетевые проверки как маркер лаборатории: образец может «простукивать» коммуникации, проверять резолв/доступность доменов, валидность TLS-контекста, а иногда — отслеживать признаки sinkhole (когда домен перехвачен и ведет на контролируемую защитой инфраструктуру). В таких случаях реальный код не исполняется, пока не будет подтвержден «нормальный» C2-контур и ожидаемая логика ответа. В-третьих, многоступенчатость: первый этап ведет себя корректно и даже «чисто», а настоящая вредоносность появляется только после команды извне или в конкретной бизнес-среде.

Это еще один пример точечного оружия, и у него есть три основных «заказчика». Самый распространенный сценарий связан с атаками инсайдеров. Обиженный на работодателя сотрудник, чаще всего системный администратор или разработчик, внедряет закладку в корпоративные системы, которая сработает при его увольнении или отключении учетной записи. Компания может лишиться информации в базах данных, столкнуться со сбоями критических конфигураций или отключением оборудования.

Второй вариант — шантажисты. Злоумышленники внедряются в сеть и закладывают логическую бомбу, которая активируется, если жертва не заплатит выкуп к определенному сроку. В отличие от шифровальщиков, которые действуют немедленно, бомба работает с отложенным эффектом, и найти ее может быть непросто.

Наконец, третий распространенный кейс связан с действиями APT-группировок в долгосрочных операциях. Внедрившись в инфраструктуру цели, злоумышленники могут оставить логические бомбы, которые сработают в критический момент — например, во время военного конфликта или политического кризиса. Это элемент современного кибероружия.

В некоторых случаях логические бомбы встречаются в коммерческом ПО. Например, разработчик может встроить механизм самоуничтожения программы, если клиент не продлит лицензию.

Принцип работы логических бомб не меняется десятилетиями, однако современные реалии создают новые опасности Если раньше «бомба» находилась в коде конкретного сервера, то теперь она может быть вписана в скрипты управления облаком, конфигурации оркестрации (Kubernetes), пайплайны CI/CD. При определенных условиях такой скрипт может остановить работу сотен сервисов, удалить виртуальные машины или подменить конфигурации баз данных.

В микросервисных архитектурах такое malware может размещаться в образах контейнеров, чтобы активироваться через заданное время после запуска. К этому моменту контейнер может уже считаться доверенным и работать в продакшене. Один из самых опасных векторов — внедрение логической бомбы в открытый или коммерческий код, который затем используется тысячами компаний. Достаточно одного такого компонента, чтобы под удар попали все, кто его использует.

Злоумышленники также экспериментируют с логическими бомбами, которые анализируют поведение системы и активируются только при определенном стечении обстоятельств, которое сложно воспроизвести в тестовой среде. Это затрудняет обнаружение при проверках кода.

Методы распространения Malware

Понимание классификации вредоносного ПО было бы неполным без разбора того, как зловреды попадают на устройства жертв. К 2026 году методы доставки стали изощреннее, многоступенчатее и активнее эксплуатируют человеческую психологию. Рассмотрим основные векторы, которые используют злоумышленники.

Фишинг остается самым массовым и эффективным способом доставки вредоносного ПО. Современные фишинговые кампании стали напоминать высокоточные операции: злоумышленники через открытые источники изучают структуру организации, имена руководителей, особенности внутренних коммуникаций и рассылают письма от имени вышестоящего начальства или смежных отделов.

Получив доступ к почте одного сотрудника, взломщики компрометируют переписку и от имени реального отправителя инициируют дальнейшие атаки — например, просят перевести средства или открыть «срочный документ». Такой подход использует очевидный фактор доверия: сообщение приходит от знакомого коллеги.

Активно развивается вишинг (голосовой фишинг) с использованием технологий искусственного интеллекта. Злоумышленники клонируют голос «директора» или «финансового директора» и звонят сотрудникам, создавая ощущение срочности. Звонки подкрепляются «подтверждающими» письмами с поддельными подписями. С развитием ИИ фишинговый текст становится идеальной подделкой, что лишает жертву времени на сомнения.

В последние два года активно растет количество случаев распространения вредоносных ссылок через Telegram, WhatsApp, корпоративные мессенджеры вроде Slack и Teams. Зловред, попав на устройство, рассылает контактам вредоносные сообщения от имени жертвы. Опять же, пользователи доверяют сообщениям от знакомых лиц — так начинается цепная реакция.

Ярослав Яцкевич

Аналитик информационной безопасности SkyDNS

Плохо работает стратегия «установили и забыли» без активного мониторинга и надежда на блок-листы как на основной барьер — при использовании одноразовой инфраструктуры с высокой вариативностью и легитимными облаками как транспортом. Слабее стали и точечные запреты уровня «заблокируем пару утилит»: злоумышленники просто переключаются на другие легитимные механики. Отдельно устарела уверенность, что EDR невозможно выключить. BYOVD переводит противостояние в kernel-плоскость, а BYOI (Bring Your Own Identity) злоупотребляет окнами установки/обновления, когда агент сам может временно останавливаться. В некоторых сценариях все еще встречается и Safe-Mode-окно, когда часть защитных компонентов не поднимается как в обычной загрузке.

Как мы уже не раз отмечали, атаки через цепочки поставок приобретают все более угрожающие масштабы — прежде всего потому, что они крайне эффективны. Взлом одного легитимного разработчика или обновления позволяет зловреду попасть на миллионы устройств. В 2026 году этот вектор остается одним из самых опасных. Злоумышленники внедряют вредоносный код в установщики популярных программ, репозитории open-source-библиотек, обновления прошивок. Масштаб угрозы растет еще и потому, что открытый код сейчас используют практически все компании от стартапов до крупнейших ИТ-гигантов, и контроль компонентов программного продукта становится задачей повышенной сложности.

В 2025-2026 годах эксперты заговорили о росте использования техники BYOVD (Bring Your Own Vulnerable Driver). Злоумышленники загружают легитимный, но уязвимый драйвер, который уже имеет доверие системы, и через него выполняют вредоносные действия, отключая защиту.

Александр Сердобольский

Аналитик по информационной безопасности компании ICL Services

Если сравнивать процент обнаружения классических антивирусных решений и анализа в песочнице, их эффективность сложно переоценить – ведь разница в уровне квалификации, необходимой для обхода статического и динамического анализов, колоссальная. Тем не менее, стоит понимать, что песочница также не является панацеей, и продвинутые виды ВПО умеют распознавать запуск внутри песочницы, анализируя системные артефакты, аппаратные компоненты, мониторя наличие активности реального пользователя и используя классическую задержку исполнения.

Классический метод доставки ВПО через вложения и документы никуда не ушел, но эволюционировал. Вместо простых.exe-файлов злоумышленники используют архивы с двойным расширением (файлы с именем «Договор.pdf.exe» или «Список.pdf.lnk»), файлы MS Office с макросами, PDF-документы со встроенными вредоносными ссылками. В 2025 году стало известно о новой технике с применением масштабируемой векторной графики для распространения вредоносных BAT-скриптов. SVG-файлы содержат встроенный JavaScript-код, который запускает цепочку заражения при отображении в уязвимых средах.

Антон Чумаков

Руководитель департамента информационной безопасности компании Axoft

Да, сигнатурный анализ не выявит до 99% атак, как было несколько лет назад, но уменьшит нагрузку на другие СЗИ, «зная» о большинстве массовых атак. То же самое можно сказать про выявление фишинговых атак при помощи спам-фильтра. Да, будет сложно определить целевую фишинговую атаку, но блокирование откровенно подозрительных писем позволит уменьшить вероятность того, что она будет успешной. В целом эффективность любых СЗИ и, как следствие, техник противодействия ВПО, возрастает при выстроенной эшелонированной защите.

Наконец, злоумышленники активно используют доверенные платформы для хранения вредоносных файлов: Dropbox, Google Drive, ImgKit, GitHub Pages. Это позволяет обойти межсетевые экраны, которые блокируют неизвестные домены, но доверяют популярным сервисам.

Заражение может происходить просто при посещении скомпрометированного сайта (drive-by download). Злоумышленники внедряют на популярные ресурсы вредоносный код, который использует уязвимости браузера или плагинов для автоматической загрузки и запуска вредоноса.

Артем Иванов

Аналитик данных группы развития ML технологий ГК «Солар»

Сегодня эффективная защита невозможна без синергии всех методов. Сигнатуры — это быстрое реагирование на известное, поведенческий анализ — заслон против шаблонных вредоносных действий, а ИИ-модели — это превентивное оружие, способное обнаруживать, анализировать и коррелировать неизвестные, сложные и мультивекторные угрозы. Клиентам рекомендуется использовать комплексный подход к защите инфраструктуры на основе решений, способных выявлять такого рода атаки.

Методы распространения malware в 2026 году — это сложные, многоступенчатые схемы, комбинирующие социальную инженерию, эксплуатацию доверия к легитимным сервисам и использование самых разных каналов: от электронной почты до мессенджеров и облачных хранилищ. Успех атаки все чаще зависит не от технической сложности вредоноса, а от точности попадания в человеческий фактор.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.

Softline
Автор: Softline
Softline – лидирующий глобальный поставщик IT-решений и сервисов, работающий на рынках Восточной Европы, Америки и Азии.
Комментарии: