Нажатие F12 теперь стало сигналом для хакеров, а не инструментом для защиты. Группировка SilverFox перешла к массовым атакам, используя психологию как обычных пользователей, так и самих специалистов по безопасности. Эксперты Knownsec 404 раскрыли детали новой кампании, в которой вредоносное ПО прячется за фасадом легитимных программ, а методы обхода анализа стали напоминать шпионские триллеры.
Основной удар приходится на финансистов и руководящий состав. Злоумышленники используют привычные каналы: деловую переписку в мессенджерах (WeChat, QQ) и фишинговые сайты. Однако ключевым изменением стала реакция на утечку исходных кодов Gh0st. Инструмент, ранее доступный узкому кругу, теперь активно кастомизируется подпольем, что привело к взрывному росту числа инцидентов.
Главная инновация SilverFox — «умная» защита фишинговых страниц. Как только сайт замечает попытку открыть консоль разработчика (через F12 или клик правой кнопкой мыши), он мгновенно подменяет контент. Страница либо полностью очищается, либо перенаправляет аналитика в пустоту, заметая следы перед загрузкой вредоносного файла. При этом для обычного посетителя клик по любой кнопке на сайте автоматически инициирует скачивание вируса.
Арсенал группы пополнился модульными конструкторами. Теперь SilverFox может массово штамповать уникальные сборки вредоносного ПО, комбинируя шпионские модули под конкретную цель: от кражи паролей в банковском секторе до маскировки трафика в госучреждениях. Распространяются они под видом офисных пакетов, сервисов госуслуг и популярных утилит, часто используя похищенные цифровые подписи для усыпления бдительности жертв.
Тактика SilverFox демонстрирует эволюцию киберугроз: теперь вредоносный код не просто проникает в систему, а маскируется на всех этапах — от доменного имени до поведения в браузере. Противостоять этому можно только комплексно, сочетая технический мониторинг аномалий с обучением персонала, который должен понимать: даже безобидный клик на знакомом сайте может стать началом взлома.