Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

PDF с подвохом: Paper Werewolf снова атакует российские компании через фальшивый Adobe Reader

2559
Paper Werewolf PaperGrabber EchoGather Mythic фишинговые PDF.
PDF с подвохом: Paper Werewolf снова атакует российские компании через фальшивый Adobe Reader
Paper Werewolf PaperGrabber EchoGather Mythic фишинговые PDF.

Новый стилер крадёт файлы, пароли и данные Telegram.

image

Российским промышленным, финансовым и транспортным организациям снова разослали документы с подвохом. За обычными PDF и установщиками Adobe скрывалась новая кампания Paper Werewolf: группировка обновила набор инструментов, добавила ранее не описанный стилер PaperGrabber, несколько загрузчиков и новый имплант для фреймворка Mythic. Кампанию в марте и апреле 2026 года зафиксировали специалисты BI.ZONE.

Атака начиналась с фишингового письма. Получателю отправляли PDF со ссылкой на ZIP-архив Adobe_Reader_RU.zip или Adobe_Reader.zip. После нажатия на кнопку установки обновления загружался файл Adobe_Acrobat_Reader_Plugin_ru.exe, собранный через Inno Setup. Установщик изображал плагин для Adobe Acrobat, открывал PDF-приманку Requirement.pdf и параллельно запускал троян удалённого доступа EchoGather.

EchoGather собирал сведения о заражённой системе, передавал данные на управляющий сервер, загружал файлы и выполнял команды через cmd.exe. В новых образцах Paper Werewolf изменила конфигурацию трояна: вместо явной настройки прокси появился параметр magic, который рассчитывался после проверок против виртуальной среды и затем использовался при обмене данными с сервером.

Главной находкой стал PaperGrabber, ранее не описанный стилер на VB.NET. Программа собирала файлы с локальных, сетевых и съёмных дисков, вытаскивала данные Telegram и забирала сохранённые пароли из Yandex Browser, Chrome, Opera, Edge и Chromium. Особый интерес стилер проявлял к файлам с фрагментами id_rsa, ssh, private, key и rsa, что указывает на поиск SSH-ключей и закрытых криптографических ключей.

В других цепочках Paper Werewolf использовала JavaScript-загрузчик шеллкода с легитимным Node.js под именем yandex.exe, C++-загрузчик под видом заявки на обучение в лётной школе, WSF-файл с налоговой приманкой и MSBuild для запуска встроенной C#-программы. Часть полезных нагрузок исследователям получить не удалось, но найденные компоненты показывают общий подход: вредоносный код закреплялся в системе, загружал следующий этап и запускал нагрузку прямо в памяти процесса.

Отдельно BI.ZONE описала новый имплант для Mythic. После запуска вредоносный код создавал мьютекс, расшифровывал строки, находил нужные функции WinAPI и начинал обмен ключами с сервером управления. Затем имплант передавал сведения о пользователе, системе, домене, архитектуре, локальных IP-адресах, процессе и уровне привилегий.

BI.ZONE отмечает, что Paper Werewolf активно меняет цепочки атак и использует сразу несколько способов доставки вредоносной нагрузки: фишинговые PDF, установщики Inno Setup, загрузчики и downloader’ы на разных языках. Развитие собственных имплантов для Mythic помогает группировке дольше сохранять скрытый доступ к заражённой среде, а PaperGrabber расширяет кражу данных до файлов, Telegram-сессий и сохранённых браузерных паролей.