Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.
Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае — июне 2025 года и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.
Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).
Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя «ComicForm».
Рисунок 1. Анимированное изображение из ссылки, спрятанной во вложении из фишингового письма
Для фишинговых рассылок ComicForm используют адреса электронной почты, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Часть отправителей могла быть скомпрометирована. Характерным признаком группы стало использование в качестве обратного адреса (replay-to) ящика rivet_kz@…, зарегистрированного в бесплатном российском почтовом сервисе.
Помимо вредоносных вложений, злоумышленники используют также поддельные страницы сервисов для хранения документов. После перехода по предложенной в письме ссылке жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников.
Группа ComicForm ведет активную деятельность не только против компаний в России, но также Беларуси и Казахстана. Использование английского языка в некоторых фишинговых письмах предполагает возможные угрозы для зарубежных организаций. Так, в июне были зафиксированы следы атаки на казахстанскую телекоммуникационную компанию.
«Группировка ComicForm действует минимум с апреля 2025 года и активна по настоящее время. В начале сентября мы заметили, что злоумышленники расширяют свою инфраструктуру. Подобные угрозы остаются актуальны для компаний из всех сфер экономики, несмотря на повышение осведомленности и развитие инструментов защиты», — сообщил Владислав Куган, аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.
Технический анализ атак ComicForm и индикаторы компрометации (IoC) — в новом блоге F6 Threat Intelligence.
Для предотвращения и защиты от возможных кибератак со стороны группировки ComicForm или атак групп со схожими техниками специалисты компании F6 рекомендуют следующие меры:
Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.
Используйте передовые решения для защиты электронной почты с целью предотвращения вредоносных рассылок.
Применяйте данные киберразведки.
Внедряйте современные средства для обнаружения и реагирования на киберугрозы.
Источник: habr.com