Специалисты по кибербезопасности Почты Mail и VK WorkSpace сообщают о резком увеличении числа фишинговых рассылок, нацеленных на бухгалтерии и сотрудников компаний. Злоумышленники используют взломанные бизнес-аккаунты и отправляют письма от имени зарубежных организаций, маскируя угрозу под финансовые и деловые документы.
- За последний месяц 30% вредоносных файлов оказались именно такими замаскированными вложениями.
- Мошенники всё чаще используют RAR-архивы со скрытыми VBS-скриптами вместо привычных исполняемых файлов.
- После открытия вложения на компьютер жертвы загружается вредоносный скрипт, открывающий злоумышленникам удалённый доступ.
Что происходит: волна замаскированных атак
Аналитики фиксируют тревожную тенденцию — киберпреступники переходят на многоуровневые схемы. Вместо прямых ссылок или очевидных EXE-файлов они прикрепляют к письмам RAR-архивы. Внутри таких архивов спрятан VBS-файл, который выдают за Excel-таблицу или другой привычный документ.
Чаще всего письма маскируют под SWIFT-подтверждения платежей, счета-фактуры, коммерческие предложения и запросы документов. Пользователь открывает архив, запускает скрипт — и злоумышленники получают удалённый доступ к устройству. Дальше — кража учётных данных и установка дополнительного вредоносного ПО.
Как защититься: советы экспертов
Руководитель группы спам-анализа Почты Mail Дмитрий Моряков отмечает — пользователи стали осторожнее относиться к привычным исполняемым файлам и документам Office, поэтому мошенники делают ставку на нестандартные форматы и архивы со встроенными скриптами.
ИБ-специалисты уже заблокировали фишинговые домены и направленные письма до того, как они попали к адресатам. Благодаря современным ML-моделям и антиспам-системам новые сценарии фиксируются в реальном времени, что позволяет оперативно дообучать умные системы. Тем не менее эксперты напоминают о базовых правилах кибергигиены: внимательно проверять вложения даже в рабочей почте, смотреть на адрес отправителя и не открывать архивы с подозрительными скриптами, которые требуют запуска и разрешений.
Мнение редакции Mr.Android
Фишинг под видом бизнес-документов — не новая, но постоянно эволюционирующая угроза. Переход мошенников на VBS-скрипты в архивах показывает, что старые методы защиты (например, блокировка EXE-файлов) уже не работают. Главный совет — включить показ расширений файлов в проводнике и всегда проверять, что именно вы запускаете, даже если письмо пришло от знакомого отправителя. Лучше лишний раз переспросить коллегу, чем потом лечить заражённую систему.
