Комикс на миллион. Хакеры ComicForm используют GIF-ки с супергероями, чтобы воровать данные у крупных компаний

comicform фишинг formbook f6 атака
Комикс на миллион. Хакеры ComicForm используют GIF-ки с супергероями, чтобы воровать данные у крупных компаний
comicform фишинг formbook f6 атака

Группировка атакует компании в России, Беларуси и Казахстане.

image

Аналитики F6 опубликовали исследование о новой фишинговой кампании, активной с весны 2025 года. Группировка, получившая название ComicForm, рассылала письма с вредоносными вложениями в адрес российских, белорусских и казахстанских компаний из промышленной, финансовой, туристической, биотехнологической и других сфер.

Первое зафиксированное письмо с темой «Акт сверки для подписи» было направлено 3 июня 2025 года. Во вложении находился архив с исполняемым файлом, который запускал многоступенчатую цепочку заражения. В ходе детонации загружались обфусцированный загрузчик на .NET, модуль MechMatrix Pro.dll и дроппер Montero.dll. Последний закреплялся в системе, добавлял себя в исключения Windows Defender, внедрял полезную нагрузку в процессы и запускал шпионское ПО FormBook.

Любопытной находкой стали зашитые в код вредоноса GIF-анимации с супергероями из Tumblr и Giphy. Они не использовались в атаке, но именно из-за этой «эстетики» злоумышленники получили имя ComicForm.

Основным признаком писем оказался обратный адрес rivet_kz@…, зарегистрированный в бесплатном почтовом сервисе. Письма отправлялись с доменов .ru, .by и .kz, содержали темы о счетах, договорах и банковских документах и сопровождались архивами с заражёнными файлами. В ряде случаев они исходили с IP-адресов 185.130.251.14, 185.246.210.198 и 37.22.64.155. Одно из писем было направлено на корпоративный ящик Beeline Казахстан.

Позднее, 25 июля, F6 зафиксировала новую волну рассылки от имени казахстанской компании. Письма содержали ссылку «Подтвердить пароль», ведущую на поддельную страницу авторизации. Данные, введённые жертвой, отправлялись на сторонний ресурс, а код страницы автоматически подставлял email-адрес пользователя и добавлял скриншот корпоративного сайта для правдоподобия.

Анализ инфраструктуры показал использование широкого набора доменов в зонах .ru, .kz, .vn, .id, .ng, .glitch.me и других. Часть ресурсов была скомпрометирована. Эксперты нашли совпадения с атакой в апреле 2025 года на белорусский банк, где применялись аналогичные техники и сервисы для кражи данных через платформу Formspark.

ComicForm продолжает активность по состоянию на сентябрь 2025 года, используя как старую инфраструктуру, так и новые домены. Однако в последних рассылках больше не встречается адрес rivet_kz@….ru. Графовый анализ показал расширение сети используемых злоумышленниками ресурсов.

F6 пришла к выводу, что ComicForm действует минимум с апреля 2025 года и атакует организации разных стран и отраслей. Группировка комбинирует рассылку FormBook с созданием фишинговых страниц, мимикрирующих под корпоративные сервисы.