Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Двойная доставка: фишинг и вредоносное ПО для кражи учётных данных

6
4 мин
Недавние исследования показывают, что современные кибератаки все чаще комбинируют фишинг учетных данных и доставку вредоносного ПО в рамках одной кампании. Злоумышленники используют оба метода одновременно, чтобы обойти разрозненные механизмы защиты и увеличить вероятность получения конфиденциальных логинов и доступа к скомпрометированным системам. Комбинация фишинга и поставки вредоноса позволяет злоумышленникам покрыть слабые места в защитных решениях: если одна техника обнаруживается или блокируется, в ход идет вторая. В результате атакующие не только похищают сразу вводимые учетные данные, но и разворачивают инструменты для последующего сбора данных, персистенции и разведки в сети жертвы. Анализ нескольких инцидентов показывает разнообразие применяемых тактик и инструментов: «Двойной подход существенно меняет правила игры: он одновременно расширяет тактические возможности и повышает устойчивость атак к традиционным средствам защиты», — констатируют эксперты. Комбинирование фишинга
Оглавление
Источник: cofense.com
Источник: cofense.com

Недавние исследования показывают, что современные кибератаки все чаще комбинируют фишинг учетных данных и доставку вредоносного ПО в рамках одной кампании. Злоумышленники используют оба метода одновременно, чтобы обойти разрозненные механизмы защиты и увеличить вероятность получения конфиденциальных логинов и доступа к скомпрометированным системам.

Как работает «двойной» подход

Комбинация фишинга и поставки вредоноса позволяет злоумышленникам покрыть слабые места в защитных решениях: если одна техника обнаруживается или блокируется, в ход идет вторая. В результате атакующие не только похищают сразу вводимые учетные данные, но и разворачивают инструменты для последующего сбора данных, персистенции и разведки в сети жертвы.

  • Фишинг встроен непосредственно в тело письма или в переход по ссылке — жертва вводит учетные данные.
  • Параллельно или последовательно запускается механизм доставки вредоносного ПО (загрузчик, RAT, stealer), который извлекает дополнительные сохраненные учетные данные и другие ценности.
  • Часто используется условная логика (например, проверка User-Agent), чтобы направлять жертв на разные полезные нагрузки в зависимости от платформы.

Примеры кампаний

Анализ нескольких инцидентов показывает разнообразие применяемых тактик и инструментов:

  • Июль 2025: злоумышленники использовали встроенную ссылку, которая по-разному вела пользователей в зависимости от User-Agent. При обращении с Windows-агентом жертву перенаправляли на поддельную страницу Microsoft Store, после чего шел запуск SimpleHelp RAT.
  • Январь 2025: фишинговая форма, встроенная в письмо, при вводе учетных данных инициировала скрипт Visual Basic (VBS). Скрипт разворачивал кастомный stealer, работающий в памяти, который не только перехватывал введенные логины, но и пытался извлечь сохраненные учетные данные, в частности связанные с Microsoft Office.
  • Декабрь 2024: использовался загрузчик, запускавший Muck Stealer. Дальше stealer инициировал HTML-файл для сбора учетных данных, а собранные логины передавались в Google Sheet для последующего просмотра злоумышленниками. Такой подход запутывал поведение Muck Stealer и повышал гибкость эксфильтрации.
«Двойной подход существенно меняет правила игры: он одновременно расширяет тактические возможности и повышает устойчивость атак к традиционным средствам защиты», — констатируют эксперты.

Почему это особенно опасно

Комбинирование фишинга и доставки вредоноса увеличивает эффективность атак по нескольким причинам:

  • Повышенная вероятность успешного компромета: если жертва не ввела данные, вредонос может всё равно захватить сохраненные креденшалы.
  • Сложность детектирования: часть инструментов работает в памяти и не оставляет явных артефактов на диске.
  • Гибкость эксплойтов и маршрутов эксфильтрации (например, использование Google Sheet для хранения данных) затрудняет расследование и блокировку.
  • Целевые механизмы (User-Agent, платформа) позволяют адаптировать атаку под жертву и избежать стандартных фильтров.

Рекомендации для организаций

Чтобы снизить риск успешной компрометации, организациям следует применять комплексную стратегию защиты:

  • Внедрить многофакторную аутентификацию (MFA) для всех критичных сервисов.
  • Использовать EDR/НDR-решения и средства мониторинга сети для обнаружения поведения, характерного для RAT и stealer’ов.
  • Ограничить и контролировать выполнение скриптов и макросов (Block VBS/макросы через групповые политики и Application Control).
  • Проводить регулярные фишинг-учения и обучение сотрудников безопасным практикам работы с почтой и ссылками.
  • Отслеживать аномалии при доступе к внешним сервисам и появление непредусмотренных Google Sheet/документов как возможный канал эксфильтрации.
  • Применять политики по управлению и защите сохранённых учетных данных (использование password managers, ограничение доступа приложений к Credential Stores).
  • Быстро реагировать на инциденты: изоляция скомпрометированных хостов, анализ памяти и сетевого трафика, поиск индикаторов компрометации (IOCs).

Вывод

Эволюция тактик злоумышленников показывает, что разделение между фишингом и доставкой вредоноса становится условным: атакующие всё чаще объединяют методы, чтобы повысить шансы на успех. Это делает критически важным переход организаций от точечных мер защиты к комплексным, многоуровневым стратегиям, способным как предотвращать фишинг, так и обнаруживать скрытую активность вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Двойная доставка: фишинг и вредоносное ПО для кражи учётных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются