Кибератаки становятся все более изощренными: сверхреалистичные поддельные счета-фактуры в формате PDF скрывают вредоносное ПО.

Киберпреступники совершенствуют свои методы атак, что затрудняет различение цифровых угроз и легитимной деятельности. Об этом говорится в последнем отчёте Threat Insights от HP Wolf Security, в котором рассказывается о том, как традиционные фишинговые методы и стратегии «жизни на суше» (LOTL) эволюционируют, позволяя обходить средства безопасности, основанные на обнаружении . Методы LOTL, использующие инструменты и функции, уже имеющиеся в операционных системах, теперь комбинируются по-новому, что делает обнаружение атак сложной задачей.

В отчёте представлен подробный анализ последних кампаний атак, основанный на данных миллионов конечных точек, отслеживаемых HP Wolf Security. Среди наиболее важных результатов — три особенно изобретательных метода.

Первый метод — сверхреалистичный фишинг с использованием поддельных счетов Adobe Reader . Злоумышленники внедрили « обратный шелл » (скрипт, перехватывающий управление устройством) в небольшое изображение SVG, замаскированное под чрезвычайно реалистичный PDF-файл Adobe Acrobat Reader , с поддельной полосой загрузки. Чтобы ещё больше затруднить анализ, загрузка файла была ограничена только немецкоязычными регионами.

В отчёте также говорится, что злоумышленники скрывают вредоносный код в файлах изображений . Используя файлы справки Microsoft Compiled HTML, замаскированные под проектные документы, киберпреступники спрятали полезную нагрузку XWorm в пикселях изображений . Эта полезная нагрузка затем извлекается для запуска многоэтапной цепочки заражения, которая включает в себя использование PowerShell для удаления всех следов после загрузки и запуска файлов.

« Сегодня киберпреступники используют всё более изощрённые стратегии, чтобы скрыться в повседневной деятельности пользователей, используя легитимные инструменты, знакомые файлы и методы, невидимые для традиционных средств контроля. Поскольку угрозы становится всё сложнее перехватывать только с помощью традиционных средств обнаружения, крайне важно использовать многоуровневый подход к безопасности, способный изолировать и сдерживать их, прежде чем они нанесут реальный ущерб. В условиях всё более сложной цифровой среды HP Wolf Security был создан именно с этой целью: эффективно и прозрачно защищать устройства и конечные точки, не влияя на производительность, помогая людям и компаниям безопасно работать и обеспечивая непрерывность бизнеса», — сказал Джампьеро Саворелли, вице-президент и генеральный директор HP Italy .

Наконец, в отчёте отмечено возрождение Lumma Stealer, высокоактивного вредоносного ПО, распространяемого через архивы IMG . Используя методы LOTL , эти вложения способны обходить фильтры безопасности и эксплуатировать уязвимости доверенных систем. Несмотря на действия правоохранительных органов в мае 2025 года, преступная группировка продолжала свою деятельность, регистрируя новые домены и восстанавливая свою инфраструктуру.

« Злоумышленники не изобретают велосипед, а совершенствуют свои методы», — заявил Алекс Холланд, главный исследователь угроз в HP Security Lab . « Мы наблюдаем всё более широкое сочетание инструментов, разработанных специально для этой цели, и использования менее очевидных типов файлов, таких как изображения, чтобы избежать обнаружения. Это простой и быстрый подход, который часто остаётся незамеченным именно потому, что он настолько прост ».

По словам доктора Яна Пратта, руководителя отдела безопасности персональных систем HP Inc. , противодействовать методам LOTL специалистам по безопасности особенно сложно. « Вы оказываетесь между молотом и наковальней: либо ограничиваете активность, создавая неудобства для пользователей, либо оставляете её открытой, рискуя проникновением злоумышленника », — пояснил Пратт . « Даже самые лучшие системы обнаружения могут дать сбой, поэтому крайне важна глубоко эшелонированная защита, включающая сдерживание и изоляцию угроз до того, как они нанесут ущерб».

Данные отчёта, охватывающего период с апреля по июнь 2025 года, показывают, что как минимум 13% угроз, выявленных HP Sure Click, удалось обойти один или несколько сканеров шлюза электронной почты . Наиболее популярным типом доставки были архивные файлы (40%), за ними следовали исполняемые файлы и скрипты (35%), причём предпочтение отдавалось файлам .rar (26%) . Это говорит о том, что злоумышленники злоупотребляют доверием к распространённому программному обеспечению, такому как WinRAR, чтобы избежать подозрений.