Мошенники маскируют вирусы под SWIFT-подтверждения платежей и счета фактуры

Специалисты по кибербезопасности заметили резкий рост фишинговых писем, которые маскируются под платежные подтверждения, счета‑фактуры и коммерческие документы.

Мошенники используют скомпрометированные бизнес‑аккаунты зарубежных организаций и отправляют письма, оформленные как реальные рабочие документы. Об этом сообщили Почта Mail и VK WorkSpace в пресс-релизе, документ есть в распоряжении «Клерка».

Во вложениях таких писем находятся RAR‑архивы, внутри которых скрыт вредоносный VBS‑скрипт, замаскированный под Excel‑файл или другой привычный формат. После открытия вложения на устройство загружается вредоносный код, который может предоставить злоумышленникам удаленный доступ, похитить учетные данные или установить дополнительное вредоносное ПО.

По данным аналитиков, около 30% всех вредоносных вложений за последний месяц составили именно такие архивы. Чаще всего злоумышленники подделывают SWIFT‑подтверждения платежей, счета‑фактуры, коммерческие предложения и запросы документов.

Как отмечает руководитель группы спам‑анализа Почты Mail Дмитрий Моряков, мошенники переходят на более сложные схемы: используют нестандартные форматы файлов, многоуровневые атаки и архивы со встроенными скриптами, поскольку пользователи стали осторожнее относиться к привычным исполняемым файлам.

Фишинговые домены и рассылки были оперативно заблокированы ИБ‑специалистами до попадания писем к адресатам. Современные ML‑модели позволяют быстро выявлять новые сценарии атак и дообучать антиспам‑системы в реальном времени.

Эксперты напоминают, что нужно соблюдать правила кибергигиены:

• проверять отправителя;

• внимательно относиться к вложениям даже в корпоративной почте;

• не открывать архивы, содержащие скрипты или файлы, требующие запуска и доступа к устройству.