Привет, Хабр!
Фишинг, тема стара как мир, но это по-прежнему один из самых популярных и рабочих инструментов хакеров. Эксперты уже отмечают рост фишинговых атак в 2025 году и то, что они становятся всё более изощрёнными.
Не знаю, как у вас, а у меня в Gmail и Яндекс таких писем почти нет, даже спама немного. А вот старый ящик на Рамблере, который я использую только для госоганов или HeadHunter, оказался куда интереснее.
В итоге список выглядел так:
Данилова София → xumngmyn@berlis.wileana.ru (пришло 08.08.2025)
Екатерина Голованова → osylqspy@winson.darickal.ru (пришло 11.08.2025)
Александра Воробьев → assqygeyv_yjs@eniab.davier.ru (пришло 13.08.2025)
Волкова Ника → bcnykrgz@winoa.cenciss.ru (пришло 17.08.2025)
Вера Кулешова → cadvvzxsowkn@danial.urbailian.ru (пришло 22.08.2025)
Внутри, письма выглядели как реклама от Т-Банка, кнопки «пройти тест» и «узнать подробнее».
Другие письма были такие же.
Любопытство победило, и я прогнал письма через песочницы Triage и Hybrid-Analysis. Результат предсказуем, но тревожный, внутри оказались знакомые имена - RedLine, Vidar, Raccoon Stealer.
Визуально письмо открывалось как страница Google, но на самом деле, вместо настоящего google.com открывался «Google-клон».
Вот наиболее интересные детали из отчетов.
Файл был как обычный HTML-документ, но после запуска сразу начал создавать временные файлы в системной папке C:\Windows\SystemTemp\, активно проверял реестр, вытягивая данные о процессоре и системе, пробовал менять ключи в HKEY_USERS и Classes и даже обращался к COM-API планировщика задач, то есть пытался закрепиться в системе, чтобы запускаться снова при старте Windows.
В довесок были замечены характерные приемы вроде WriteProcessMemory, SetWindowsHookEx и SendNotifyMessage, это уже похоже на поведение стилеров или малвари, которая внедряется в процессы браузера, чтобы перехватывать данные.
📌 Вот что показала песочница Hybrid Analysis.
Письмо вело на домен urbailian.ru, зарегистрированный всего за пару дней до отправке, и сразу редиректило на ещё более свежий liagomart.site. А само вложение было HTML-документом в 165 КБ, который маскировался под Google и в фоне генерировал сетевую активность. Песочница зафиксировала более 10 обращений к разным хостам, включая urbailian.ru, axela.liagomart.site и настоящие Google-домены (google.com, fonts.gstatic.com), это делается, чтобы жертва меньше заподозрила подвох.
Сработало сопоставление по MITRE ATT&CK:
T1583.001 - регистрация домена под атаку.
T1204.001 - «malicious link», открытие ссылки.
T1071.001 - использование веб-протоколов для C2.
T1553.002 - подписание сертификатами (в том числе Let's Encrypt).
Браузерные процессы (msedge.exe) запускались с изменёнными переменными окружения, создавали кучу подпроцессов и работали как «распаковщик».
Отчеты песочниц по остальным письмам были такие же.
Всё это ещё раз напоминает простую истину, фишинг живее всех живых. Меняются только упаковка и инструменты, а конечная цель остаётся прежней.
А какие письма приходят Вам?
