Цена взлома российского бизнеса упала до $20. Как работает новый PowerLoader

Российские компании получили новую волну фишинговых атак, где обычное письмо с бухгалтерским архивом превращалось в цепочку заражения с кражей данных, удаленным доступом и шифрованием файлов. Аналитики BI.ZONE связали кампанию с группой Fluffy Wolf и зафиксировали атаки с марта по май 2026 года.

Под удар попали организации из строительства, консалтинга, производства, инженерной сферы, розницы и электронной коммерции. Преступники рассылали письма от имени сотрудников реальных компаний и просили проверить документы по якобы непогашенной задолженности, актам сверки или претензиям.

Для доставки вредоносного кода Fluffy Wolf использовала два основных способа. В первом случае жертве отправляли RAR-архив с вредоносным файлом. Во втором - письмо вело на подконтрольный злоумышленникам репозиторий GitHub, откуда пользователь сам скачивал зараженный архив. Такой прием помогал обходить часть почтовых фильтров, потому что ссылка на известную платформу выглядела менее подозрительно.

В письмах встречались темы про претензии, акты сверки и документы для подписания. Для рассылки группировка использовала почтовые сервисы mail.ru и yandex.ru. Внутри архивов находились исполняемые файлы, скрипты, загрузчики и дропперы, которые запускали следующие этапы атаки.

Главной особенностью кампании стала не смена конечных вредоносных программ, а усложнение доставки. Fluffy Wolf по-прежнему применяла похититель данных PureLogs, троян удаленного доступа PureRAT и программу-вымогатель Pay2Key, но добавила новые промежуточные инструменты. Среди них Rust-загрузчик с Donut shellcode, пакетные и JavaScript-загрузчики, PureCrypter и ранее не описанный PowerLoader.

PowerLoader написан на C++ и запускает PowerShell в скрытом режиме. Через командную строку загрузчик обращается к управляющему серверу, получает скрипт, скачивает PureCrypter на зараженный компьютер и передает запуск следующему компоненту. В отчете BI.ZONE говорится, что PowerLoader продавали на подпольных площадках по модели вредоносного ПО как услуги: сборка стоила $100, повторная сборка - $20.

PureLogs отвечал за кражу данных из браузеров, почтовых клиентов, FTP-сервисов и других приложений. В новых атаках программа отправляла разные категории украденной информации на отдельные адреса управляющего сервера. Такой подход помогает оператору быстрее сортировать учетные данные, сведения о системе, файлы браузера и информацию из приложений.

PureRAT давал атакующим удаленный доступ к зараженной системе. BI.ZONE впервые обнаружила в атаках на российские организации плагин PluginRemoteDesktop для PureRAT. Компонент позволяет получать снимки рабочего стола, собирать список открытых окон, определять активное окно, управлять клавиатурой и мышью, а также отправлять сообщения в окна приложений.

Программа-вымогатель Pay2Key в одном из изученных случаев запускалась после открытия файла из архива doc_06052026_buh_akt.rar. После старта вредоносный код создавал два исполняемых файла, начинал шифрование и показывал пользователю сообщение об ошибке, пока процесс продолжался в фоне. Зашифрованные файлы получали расширение .ywgulm_p2k, а инструкция для восстановления сохранялась в C:\temp\HowToRestoreFiles.txt на русском, английском и испанском языках.

Pay2Key пытался затруднить последующий анализ. Вредоносная программа блокировала доступ к отдельной директории, копировала ZIP-архивы с рабочего стола и из вложенных папок, а затем затирала собственный файл нулями перед удалением. После завершения шифрования запускался PureRAT, который внедрял код в системный процесс RegAsm.exe.

Исследователи считают, что Fluffy Wolf активно обновляет инструменты для обхода защиты и усложнения расследования. В кампании использовались легитимно выглядящие GitHub-ссылки, зашифрованные полезные нагрузки, обфусцированные скрипты и несколько вариантов загрузчиков. На момент исследования указанные репозитории GitHub уже были недоступны.

Кампания показывает, что атаки на компании всё чаще строятся не вокруг одного вложения, а вокруг гибкой цепочки доставки. Письмо с актом сверки запускает несколько промежуточных этапов, а конечный набор угроз может включать кражу паролей, удаленное управление компьютером и шифрование рабочих файлов.