Аналитики по кибербезопасности зафиксировали новую масштабную волну целевых атак на российский бизнес. Группировка PhantomCore, известная с 2022 года, в конце января 2026 года возобновила активность, отправив тысячи фишинговых писем. В зоне риска оказались компании из ключевых отраслей: от ЖКХ и финансов до аэрокосмического сектора и электронной коммерции. Злоумышленники используют изощренную тактику, чтобы их сообщения не попали в спам и вызвали доверие.
Атака начинается с обманчиво безобидного письма с темой «ТЗ на согласование». В архиве ждет ловушка: ярлык (LNK-файл) и документ, который на самом деле является контейнером. Запуск ярлыка запускает сложную цепочку команд. Сценарий на PowerShell незаметно загружает вредоносную нагрузку, отвлекает жертву поддельным документом и прочно внедряется в систему. Для этого в планировщике Windows создается задача «Yandex Task», которая перезапускает зловреда каждые 61 секунду, обеспечивая его живучесть.
Внедренное вредоносное ПО действует как шпион, устанавливая связь с командным сервером злоумышленников. Оно передает данные о зараженном компьютере и ждет инструкций. Получив команду, вредонос выполняет ее и отсылает результаты обратно. Для рассылки и хостинга вредоносных скриптов PhantomCore использует скомпрометированные сайты реальных компаний, часто на движке WordPress, что усложняет их обнаружение и блокировку. Управляющая инфраструктура также распределена по нескольким IP-адресам.
Эта кампания демонстрирует рост сложности и изощренности атак на корпоративный сектор. Использование легитимных тем для писем, многостадийность, маскировка под доверенные имена (вроде «Яндекса») и компрометация настоящих сайтов — все это признаки профессиональной кибергруппировки. Специалисты рекомендуют компаниям усилить бдительность, обучать сотрудников распознаванию фишинга и регулярно обновлять средства защиты.