Они получали поддельные адресные уведомления о проверке на плагиат
В октябре 2025 года эксперты Kaspersky GReAT обнаружили новую волну целевых кибератак «Форумного тролля». Эта кампания впервые была выявлена в марте 2025 года благодаря решению Kaspersky Symphony XDR. На этот раз мишенями злоумышленников стали политологи, специалисты по международным отношениям, экономисты ведущих российских вузов и НИИ. Они получали поддельные адресные уведомления о проверке на плагиат.
Как проходили атаки в октябре. Рассылка фишинговых писем производилась с электронного адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru. В сообщениях находилась ссылка якобы с отчётом, в котором сообщалось, на чём основаны подозрения в плагиате. После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В нём находились папка с обычными изображениями (вероятно, она была добавлена, чтобы усыпить бдительность адресатов) и ярлык файла с вредоносным ПО. Нажатие на ярлык приводило к загрузке зловреда и его установке на компьютер жертвы, то есть вредоносное ПО могло продолжать своё действие даже в случае перезагрузки устройства. Одновременно с этим открывался нечёткий PDF-файл, якобы он и содержал информацию о плагиате.
Детали подготовки. Финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для взлома Tuoni. Компании часто используют его для тестирования уровня защищённости собственной инфраструктуры. Злоумышленники же с его помощью получали удалённый доступ к устройствам жертв и проводили дальнейшие действия внутри сети.
Кроме того, атакующие тщательно подготовили онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, выводили разные сообщения в зависимости от ОС и, похоже, ограничивали повторные загрузки, чтобы затруднить анализ. На сайте, имитировавшем реальный сайт электронной библиотеки, были следы, указывающие на то, что он работал как минимум с декабря 2024 года. Это означает, что кибератаку готовили много месяцев. В настоящий момент сайт заблокирован.
«Учёные часто становятся мишенью для злоумышленников, особенно если указывают контакты для связи в открытых источниках. Фишинговые письма с обвинениями в плагиате могут вызвать тревогу у получателей из академической среды, поэтому риск угодить в такую ловушку высок. Чтобы не стать жертвой подобной атаки, необходимо установить защитное ПО на всех личных устройствах и внимательно перепроверять источники писем, прежде чем открывать вложения и переходить по ссылкам из них», — предупреждает Георгий Кучерин, эксперт Глобального центра исследования и анализа угроз (Kaspersky GReAT).
По оценкам Kaspersky GReAT, кибергруппа «Форумный тролль» проявляет интерес к целям в России и Беларуси как минимум с 2022 года.
Полная версия отчёта доступна на сайте https://securelist.ru/operation-forumtroll-new-targeted-campaign/114426/.
«Лаборатория Касперского» рекомендует научным работникам и сотрудникам вузов:
· с осторожностью относиться к сообщениям с обвинениями в плагиате, особенно если они содержат ссылки на внешние файлообменники;
· прежде чем открывать вложения или архивы, проверять такие сообщения через официальные каналы;
· регулярно обновлять операционные системы и браузеры, чтобы снизить риск стать жертвой атаки с использованием уязвимостей нулевого дня;
вузам и научно-исследовательским институтам:
· установить надёжные защитные решения от вендора, эффективность технологий которого подтверждается независимыми тестами, например из линейки Kaspersky Symphony. Она даёт возможность поэтапно строить всеобъемлющую безопасность, позволяя выбирать уровень решения в зависимости от потребностей учебного заведения и текущего уровня информационной безопасности.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
