Аналитики компании F6 зафиксировали масштабную фишинговую кампанию, нацеленную на организации в Беларуси, Казахстане и России. По оценке специалистов, за атаками стоит ранее неизвестная группа под названием ComicForm, действующая не менее чем с апреля 2025 года. В ряде эпизодов также выявлена активность другой группировки — SectorJ149, которая, предположительно, использует схожую инфраструктуру и инструменты.
По информации F6, злоумышленники концентрируют усилия на сферах промышленности, финансов, туризма, биотехнологий, торговли и научных исследований. Ключевой целью остаются корпоративные сети и конфиденциальные данные.
Атаки строятся по классической фишинговой цепочке:
- на корпоративные почтовые адреса рассылаются письма с темами вроде «Акт сверки», «Счёт на оплату» или «Ожидаем документ»;
- во вложении содержится архив .rr, в котором находится исполняемый файл Windows с двойным расширением (например, Акт_сверки pdf 010.exe), маскирующийся под PDF-документ;
- файл запускает запутанный загрузчик на .NET, который разворачивает первую DLL-библиотеку — MechMatrix Pro.dll, а затем вторую — Montero.dll, уже содержащую FormBook.
Для повышения устойчивости к обнаружению вредонос удаляет себя из сканирования Microsoft Defender, создаёт запланированную задачу для автозапуска и маскирует сетевую активность. Вредонос способен перехватывать логины, пароли, содержимое буфера обмена, делать скриншоты и выгружать данные на серверы управления.
Название ComicForm возникло после того, как исследователи нашли в бинарных файлах ссылки на изображения супергероев — в частности, на GIF-файлы с Бэтменом, размещённые на Tumblr. Эти изображения не использовались в атаках напрямую, но остались в коде, предположительно как метки или «визитки».
Хакеры рассылают письма с доменов верхнего уровня .ru, .by и .kz. В частности, в июне 2025 года зафиксирована попытка атаковать компанию в Казахстане, а в апреле — белорусский банк. Позднее, в июле, была выявлена рассылка писем с казахстанского адреса на российские промышленные предприятия. Фишинговые сообщения содержали ссылки на поддельные страницы управления документами.
Помимо загрузки вредоносного ПО, ComicForm использует поддельные страницы входа. Жертвы перенаправляются на сайт, имитирующий внутренние системы документооборота. Там они вводят учётные данные, которые мгновенно передаются на серверы злоумышленников. В коде таких страниц также обнаружен JavaScript, который:
- извлекает email жертвы из URL-параметров;
- подставляет его в поле id="email";
- определяет домен email и загружает его снимок через публичное API, чтобы подделать фон страницы и усилить доверие к ресурсу.
В случае с атакой на белорусский банк, дополнительно запрашивались номера телефонов, что позволяло сопоставлять учетные записи с SIM-картами и усиливать привязку к личности.
По данным F6, группировка ориентируется на русскоязычное пространство, но использует и англоязычные шаблоны. Это может говорить о расширении операций за пределы ЕАЭС. По мнению аналитиков, ComicForm и SectorJ149 проводят параллельные кампании с использованием FormBook — вредоносного ПО, давно используемого в сфере кибершпионажа и финансовых атак.
Оригинал публикации на сайте CISOCLUB: "Хакеры проводят целевые кибератаки в России и Евразии с применением вредоносного ПО FormBook".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.