Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

Нажали F12 и увидели пустоту? Поздравляем, хакеры уже раскусили вас и стёрли все улики

leer en español

SilverFox Knownsec фишинг вредоносное ПО домены социальная инженерия кибератаки
Нажали F12 и увидели пустоту? Поздравляем, хакеры уже раскусили вас и стёрли все улики
SilverFox Knownsec фишинг вредоносное ПО домены социальная инженерия кибератаки

Попытка вскрыть замок превратила дверь в глухую стену.

image

Группировка SilverFox усилила активность и изменила тактику атак, сделав упор на массовое распространение вредоносного ПО под видом популярных программ. Команда Knownsec 404 описала новые приёмы, которые позволяют злоумышленникам обходить проверку кода, маскировать инфраструктуру и масштабировать кампании против организаций.

SilverFox нацеливается прежде всего на сотрудников управленческого и финансового звена. Основные каналы доставки остаются прежними — мессенджеры WeChat и QQ, фишинговые письма и поддельные сайты с «инструментами». После утечки исходников Gh0st набор инструментов разросся и стал доступен разным участникам подпольного рынка, что резко увеличило масштаб атак.

Одно из ключевых изменений — поведение фишинговых страниц. Вредоносные сайты активно мешают анализу: отключают правый клик, блокируют комбинации клавиш для открытия инструментов разработчика и отслеживают попытки их запуска через изменение размеров окна. При обнаружении анализа страница либо очищается, либо перенаправляет пользователя. Такой подход рассчитан на специалистов, которые обычно проверяют код перед запуском файлов.

Параллельно злоумышленники давят на поведение обычных пользователей. Любое нажатие на странице — даже на кнопки «Главная» или «Контакты» — запускает загрузку вредоносного файла. Подобная «универсальная» схема ломает привычную логику интерфейса и повышает вероятность заражения, хотя автоматического запуска файлов не происходит.

Серьёзную роль играет доменная инфраструктура. Операторы регистрируют адреса, почти неотличимые от официальных ресурсов, добавляя лишние символы, меняя доменные зоны или используя региональные обозначения. Часто встречаются варианты с привязкой к конкретным регионам, что снижает подозрения у пользователей. Анализ более 700 доменов показал концентрацию в отдельных регионах Китая, но в целом охват остаётся широким.

Ещё одна особенность — массовое производство вредоносных сборок. Злоумышленники используют модульную архитектуру, комбинируя компоненты вроде кейлоггеров, захвата экрана и механизмов скрытой передачи данных. Конфигурация подстраивается под цель: в атаках на финансовые структуры усиливают сбор учётных данных, в атаках на государственные организации — обход систем обнаружения.

Для распространения применяют шаблоны поддельного ПО. Среди них — якобы официальные сервисы для госуслуг, офисные пакеты, инструменты удалённого доступа, мессенджеры и утилиты. Интерфейс и внешний вид максимально копируют оригиналы, иногда используются украденные сертификаты подписи, что усиливает доверие.

Авторы отчёта отмечают, что SilverFox выстроила устойчивую цепочку «создание — распространение — защита от анализа». Масштабирование достигается за счёт автоматизации и гибкой настройки вредоносных компонентов. Противодействие требует комплексного подхода: мониторинга доменов, анализа поведения пользователей и систем, а также повышения осведомлённости сотрудников и координации между организациями.