Внутри сообщений содержится вредоносное ПО, предназначенное для кражи конфиденциальных данных
«Лаборатория Касперского» обнаружила фишинговые рассылки на российские организации, начавшиеся в октябре 2025 года. В письмах используются «классические» легенды, которые часто встречаются в схемах под конец года, связанные с выплатой премий и бонусов. Внутри сообщений содержится вредоносное ПО, предназначенное для кражи конфиденциальных данных.
Вредоносные вложения в обнаруженных письмах визуально замаскированы под Excel-документы. В них, например, якобы содержится информация о пересмотре «премий и бонусов» в 2025 году или списки сотрудников, которым, по легенде злоумышленников, планируют выплатить вознаграждение в следующем 2026 году. Расширение у таких документов — .xll, которое легко перепутать со стандартными .xls или .xlsx.
Пользователей также может ввести в заблуждение то, что в случае скачивания документа тип файла отображается как Microsoft Excel XLL Add-in — и внешне выглядит вполне легитимным. На самом деле он указывает на то, что речь идёт о плагине (или расширении) для MS Excel. Само же вложение представляет собой вредоносную библиотеку. Если жертва дважды на него кликнет, запустится Excel — и начнётся загрузка и выполнение. В данном случае злоумышленники эксплуатируют встроенный в MS Excel механизм подгрузки плагинов, которые позволяют расширить его функциональность.
Вредоносная библиотека — это загрузчик, который в свою очередь скачивает и запускает несколько PowerShell-скриптов. Один из них позволяет закрепиться в системе, а другой — представляет собой файл-граббер, который ищет на устройстве жертв документы, потенциально представляющие интерес для злоумышленников. Помимо файлов, скрипт собирает информацию о заражённой системе, например сведения об операционной системе, сетевой конфигурации, списках запущенных процессов.
«Человеческий фактор остается одним из самых слабых звеньев в системе информационной безопасности организаций, поэтому атаки на компании часто начинаются именно с фишинговых рассылок. Злоумышленники внимательно следят за информационной повесткой и стараются использовать темы, которые больше всего волнуют сотрудников. Например, это может быть выплата премий или информация о нерабочих днях в праздники. При этом в данной схеме вредоносные файлы тщательно замаскированы под Excel — одну из самых популярных офисных программ. В конце года многие организации именно в ней ведут учёт расходов, составляют списки сотрудников для премирования или участия в корпоративных мероприятиях. Это ещё раз показывает, как изощрённо злоумышленники используют методы социальной инженерии. Поэтому в период предновогодней суеты особенно важно сохранять бдительность», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям:
● проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
● использовать надёжное защитное решение, которое будет автоматически блокировать подозрительные письма, такое как Kaspersky Security для почтовых серверов;
● защищать конечные устройства с помощью решений вендора, эффективность технологий которого подтверждается независимыми тестами, к примеру Kaspersky Security для бизнеса;
● более крупному бизнесу — применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности, такие как Kaspersky Symphony XDR.
