Злоумышленники атаковали российские организации фишинговыми письмами с требованием погасить задолженность. Они использовали недорогие вредоносные инструменты, а также распространяли ссылки на репозитории GitHub.
C марта по май 2026 года специалисты BI.ZONE Threat Intelligence зафиксировали серию фишинговых атак кластера Fluffy Wolf. Целями злоумышленников стали российские организации из различных отраслей: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.
В фишинговых рассылках кластер выдавал себя за партнеров или подрядчиков компании-жертвы. Атакующие предлагали погасить финансовую задолженность и ознакомиться с «документами», приложенными к письму. Среди них был файл с реквизитами для оплаты, а также файл с претензией и требованием погасить долг. Выявлено два типа фишинговых писем: с вложением в виде RAR-архива с ВПО и со ссылкой на GitHub-репозиторий атакующих, откуда загружался RAR-архив с ВПО. В архиве находились вредоносные загрузчики и дропперы, предназначенные для доставки в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key. Стоит отметить, что злоумышленники не разрабатывали ВПО самостоятельно, а покупали инструменты на теневых площадках. Например, цена за годовую подписку на PureCrypter составляет 449 долларов, PureLogs — 1250, PureRAT — 1499.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «В новой кампании группировка снизила затраты на реализацию атаки: загрузчик PowerLoader обошелся ей примерно в 120 долларов. Суммарная стоимость всего арсенала ВПО оценивается в несколько тысяч долларов. В случае успешной атаки кластер может получить огромную прибыль. Так, в 2025 году средняя сумма, которую атакующие требовали у жертв в качестве выкупа за восстановление доступа к данным, составила 193 тыс. долларов».
Кластер Fluffy Wolf сохранил привычный набор ВПО, но разнообразил методы доставки. Киберпреступники использовал плагин PluginRemoteDesktop для PureRAT, ранее не встречавшийся в атаках на российские организации. Также злоумышленники приобрели загрузчик PowerLoader, чтобы повысить эффективность проникновения и обхода систем защиты.
Еще одна интересная особенность — использование ссылок на репозитории GitHub в фишинговых письмах. Благодаря тому что ссылки выглядели легитимно, вероятность перехода жертвы по вредоносному адресу увеличивалась. С их помощью злоумышленники обходили почтовые фильтры и сетевые средства защиты.
По данным исследования Threat Zone 2026, в прошлом году 64% целевых атак начинались именно с фишинговых писем. В 2024 году этот показатель был ниже и составил 57%. Чтобы минимизировать риск подобных атак, рекомендуем использовать решения для защиты почты. Например, BI.ZONE Mail Security проводит многоуровневый анализ письма, включающий выявление нетипичных паттернов в теле сообщения, анализирует ссылки и вложения, а также сопоставляет технические индикаторы с поведением сообщения в почтовом потоке.
Чтобы защитить организацию от кибератак, необходимо использовать комплексный подход. Порталы киберразведки предоставляют подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях. Выбираем роутер стандарта Wi-Fi 7 Илья Борняков: «Мало хотеть внедрить ИИ. Нужен человек, который отвечает за результат и бюджет» Если AI для вас спасение, значит, что-то пошло не так
Источник: www.it-world.ru