Ваша паника — их бизнес-модель: как CoGUI превращает страх в украденные пароли
Это не просто спам — это мошенничество принципиально нового уровня.
Фишинговая платформа CoGUI, разработанная специально для масштабных атак, за четыре месяца 2025 года успела разослать более 580 миллионов электронных писем. Цель — кража логинов, паролей и платёжных данных. Основной удар пришёлся на Японию, но атаки затронули и другие страны — в том числе США, Канаду, Австралию и Новую Зеландию.
На пике активности в январе было проведено 170 отдельных кампаний, в ходе которых злоумышленники разослали 172 миллиона писем. Письма маскировались под уведомления от известных брендов, таких как Amazon, Apple, PayPal, Rakuten, а также под сообщения от налоговых органов и банков.
Атаки начинались с писем с тревожными темами, побуждающими к немедленным действиям. Внутри находилась ссылка, ведущая на фишинговый сайт, однако он открывался только в том случае, если устройство пользователя соответствовало ряду критериев: страна по IP, язык браузера, операционная система, разрешение экрана и тип устройства. Если данные не совпадали, жертву перенаправляли на настоящий сайт, чтобы снизить подозрения.
Если устройство подходило под шаблон, пользователь попадал на поддельную страницу входа, визуально идентичную оригинальному сайту. После ввода данных они сразу уходили злоумышленникам. Среди обнаруженных шаблонов — подделка под страницу входа Amazon.
По данным компании Proofpoint, CoGUI стал крупнейшей фишинговой платформой, зафиксированной на данный момент. Хотя она появилась ещё в октябре 2024 года, её масштаб стал ясен только с декабря, когда специалисты начали отслеживать рассылки. Первоначально считалось, что платформа связана с Darcula — другим фишинговым инструментом, ассоциированным с операторами из Китая. Однако анализ показал, что технически они независимы, хотя обе используются одними и теми же китайскими группами.
Кроме email-рассылок, CoGUI стояла и за смишинг-атаками в США, где под предлогом неоплаченных дорожных сборов злоумышленники пытались получить доступ к персональным данным. Позже этот вектор был передан в ведение платформы Darcula.
По оценке специалистов, CoGUI — это не единая группировка, а скорее сервис, доступный для разных злоумышленников. Пока основной акцент сделан на Японию, но платформа может быть использована в любой момент для атак в других регионах.
Для защиты от подобных схем ключевым остаётся правило: не переходить по ссылкам из писем, даже если они кажутся достоверными, а заходить на указанный сайт вручную, по проверенной легитимной ссылке. Если письмо требует срочных действий — это почти всегда признак фишинга.