«Войти через Google» по-армянски. Как одна кнопка заменила хакерам взлом пароля перед выборами

Перед парламентскими выборами в Армении кибершпионаж снова вышел на первый план. CyberHUB-AM сообщил о целевой фишинговой кампании против представителей армянского гражданского общества. Атаку зафиксировали 3 марта 2026 года, а главной целью, по данным исследователей, стал доступ к почтовым ящикам людей, вовлеченных в защиту свободного и честного избирательного процесса перед голосованием 7 июня.

Сценарий построили на политической подмене. Злоумышленники рассылали письма от имени Марии Карапетян, известного представителя партии «Гражданский договор», и предлагали получателям ознакомиться с якобы деловым предложением о сотрудничестве. Адрес отправителя выглядел правдоподобно из-за домена civilcontact.am, который имитировал легитимную структуру. Исследователи отдельно обратили внимание на качество армянского языка в приманке: текст выглядел неровным и мог быть подготовлен с помощью машинного перевода или ИИ, что косвенно указывает на неносителей языка.

Самая неприятная часть кампании связана не с поддельным вложением, а с обходом привычной настороженности. Письмо вело на страницу, замаскированную под папку Google Drive на домене drive.google.sharefolders[.]org. После клика жертве показывали кнопку входа через Google, но вместо обычной авторизации открывалось окно согласия для вредоносного OAuth-приложения. Приложение запрашивало доступ к Gmail с правами чтения и изменения всей почты, то есть фактически открывало путь к переписке, внутренним документам и дальнейшему развитию атаки уже из взломанного аккаунта.

Кампанию подготовили аккуратно. В CyberHUB-AM пишут, что вредоносные письма успешно проходили проверки SPF, DKIM и DMARC, поэтому Gmail и Outlook с меньшей вероятностью отправляли такие сообщения в спам. При этом сама атака, похоже, сработала не в полной мере: во время тестов Google не дал завершить авторизацию, поскольку опасное OAuth-приложение не было одобрено платформой. Исследователи также выяснили, что приложение связали с аккаунтом melissajchaves18[@]gmail.com.

Техническая инфраструктура тоже говорит о продуманной подготовке. Домен sharefolders[.]org зарегистрировали 26 февраля 2026 года, примерно тогда же выпустили сертификаты для нескольких похожих адресов, включая doc.google.sharefolders[.]org и drive.google.formshare[.]cloud. По данным отчета, вредоносные узлы размещались на сервере Hostinger с IP-адресом 187.77.12.131, а первое зафиксированное фишинговое письмо отправили утром 3 марта. Исследователи считают, что набор приемов напоминает операции групп с российским следом, в частности COLDRIVER или UNC4057, которые раньше уже охотились за НКО, гражданскими активистами и госструктурами на Кавказе и в Украине.

История хорошо показывает, как меняется современный фишинг. Вместо грубых подделок злоумышленники все чаще используют легальные механизмы вроде OAuth, правдоподобные домены и письма, завязанные на реальную политическую повестку. CyberHUB-AM советует в таких случаях внимательно проверять домены, не выдавать доступ сторонним приложениям в Google-аккаунте без явной причины, подтверждать неожиданные запросы через другой канал связи и по возможности включать усиленную защиту Google и многофакторную аутентификацию.