Почта Mail и VK Workspace зафиксировали рост фишинговых атак на бизнес-сектор

Специалисты по информационной безопасности «Почты Mail» и VK Workspace зафиксировали изменение вектора атак, нацеленных на корпоративный сектор, в частности — на финансовые отделы. Злоумышленники перешли к использованию скомпрометированных учетных записей зарубежных компаний, что позволяет им обходить базовые фильтры доверия. На практике это значит, что письма приходят с легитимных серверов, что радикально усложняет первичную идентификацию угрозы.

Механика вредоносной активности

Технически атака строится на эксплуатации человеческого фактора и доверия к деловой переписке. В письма внедряются RAR-архивы, содержащие исполняемые файлы с расширением .vbs (Visual Basic Script). Злоумышленники применяют приемы маскировки, имитируя визуальные атрибуты таблиц Excel или стандартных офисных документов. Если говорить проще, после распаковки архива и запуска файла скрипт инициирует выполнение вредоносного кода, который предоставляет атакующим возможность удаленного управления системой. На этапе post-exploitation возможна кража учетных данных, развертывание дополнительного вредоносного ПО или закрепление в инфраструктуре организации.

Статистика и векторы атак

За последний месяц доля подобных вложений достигла 30% от всего объема деструктивного контента, проходящего через системы фильтрации. Основная часть рассылок имитирует финансовую документацию: платежные поручения SWIFT, счета-фактуры или запросы на предоставление тендерной документации. Согласно экспертным оценкам, отказ от традиционных макросов в пользу .vbs-скриптов вызван ростом уровня осведомленности пользователей, которые стали с подозрением относиться к стандартным форматам документов Office. Мошенники вынуждены усложнять сценарии, применяя многоуровневый подход к обходу средств защиты.

Реакция защитных систем

Выявленные цепочки фишинговых доменов и вредоносных рассылок были нейтрализованы ИБ-департаментами до их доставки конечным пользователям. Противодействие таким угрозам базируется на применении ML-моделей, которые анализируют поведенческие паттерны злоумышленников и позволяют оперативно дообучать системы фильтрации в режиме реального времени. Несмотря на автоматизацию процессов безопасности, эксперты подчеркивают важность базовой кибергигиены: обязательную верификацию адресов отправителей, проверку содержимого архивов и ограничение прав на запуск скриптов, запрашивающих доступ к системным ресурсам.