Привет всем!

Мы в группе киберразведки регулярно мониторим фишинговые кампании, построенные на социальной инженерии. В таких кейсах обычно отсутствуют вредоносные вложения, поэтому сигнатурные и sandbox-детекты часто дают ограниченный эффект. Ключевыми оказываются инфраструктурные признаки: кто указан отправителем, какие домены и узлы используются для рассылки, куда ведут ссылки и QR-коды. Масштаб достигается за счет массовой рассылки и отсутствия вредоносных вложений, из-за чего классическое антивирусное детектирование нередко не срабатывает.

В январе 2026 года мы зафиксировали кампанию, в которой злоумышленники маскируются под государственное ведомство и параллельно используют легенду службы доставки.

Фишинговое письмо
Фишинговое письмо

Технически сценарий опирается на регистрацию адресов, визуально схожих с официальным доменом Росфинмониторинга fedsfm[.]ru, и развертывание на них почтовой инфраструктуры через MX-записи. Вместо спуфинга официального домена атакующие используют собственный домен-двойник, чтобы проходить базовые проверки аутентификации отправителя и тем самым снизить вероятность предупреждений со стороны почтовых клиентов и шлюзов.

Далее злоумышленники используют PDF-вложение — оно оформлено как официальное уведомление.

Примеры фишинговых документов
Примеры фишинговых документов

Документ оформлен максимально правдоподобно и стилизован под официальное уведомление. В нем используются формулировки в административно-деловом стиле, приводятся ссылки на федеральные законы и нормы регулирования, описывается якобы выявленное нарушение и необходимые действия со стороны адресата.

В документе присутствует QR-код, который по инструкции предлагается использовать для получения документов с доставкой. Согласно памятке, получателю необходимо отсканировать QR-код, перейти по ссылке, указать Ф. И. О. получателя и номер его телефона, после чего оплатить стоимость доставки и ожидать подтверждения. В нижней части памятки отдельно указан контакт технической поддержки в мессенджере Telegram — на случай, если при переходе по QR-коду или оплате возникнут проблемы.

При попытке перейти по QR-коду ресурс уже был недоступен — для подобных кампаний это типичный сценарий: фишинговые страницы часто живут считаные часы. После неудачной попытки мы связались с указанным контактом в Telegram. Собеседник запросил Ф. И. О. и номер телефона отправителя и получателя, после чего предоставил новую ссылку на оплату.

Диалог с мошенниками
Диалог с мошенниками

По нашей оценке, запрашиваемые данные используются для генерации персонализированной страницы оплаты, адаптированной под конкретный документ и получателя.

Далее мы перешли на платежную страницу, которая визуально копирует легитимные интерфейсы сервисов доставки и платежных систем. При анализе верстки видно, что это практически точная копия: используются те же блоки, стили и элементы интерфейса, а часть ссылок ведет на оригинальные разделы настоящих сайтов. Ключевое отличие — в платежной части: форма и шлюз подменены, а сценарий оплаты настроен так, чтобы перевод уходил в пользу злоумышленников, а не в адрес реального сервиса.

Фишинговые сайты для оплаты
Фишинговые сайты для оплаты

После первичного анализа выявленных фишинговых ресурсов мы сформировали поисковый паттерн на основе именования и инфраструктурных признаков и выполнили выборку по нашей базе PT PDNS, чтобы определить основные узлы, на которых такие страницы генерируются и размещаются. В результате корреляции по доменным шаблонам и связям в DNS мы обнаружили более 1000 связанных доменов, размещенных более чем на 50 инфраструктурных узлах.

Пример узла с фишинговыми доменами
Пример узла с фишинговыми доменами

Повторяемость структуры страниц и одновременное наличие большого числа уникальных ссылок указывает на использование автоматизированного механизма генерации URL — скриптов и алгоритмов, которые формируют уникальные пути и параметры и позволяют быстро выпускать персонализированные ссылки под конкретные задачи.

Кроме того, мы проверили адрес получателя исходного письма и выполнили поиск по близким строковым совпадениям и связанной DNS-инфраструктуре. Это позволило выявить еще одну группу схожих ресурсов, зарегистрированных в одном временном окне. 

Далее выполнили поиск упоминаний Telegram-аккаунта @cdek_tech в Telegram-каналах и других интернет-ресурсах. По косвенным признакам мы оцениваем, что аккаунт был создан в первой половине 2025 года. В июле 2025 года в профиле была размещена фотография, связанная со СДЭК.

Telegram-аккаунт злоумышленников
Telegram-аккаунт злоумышленников

Самое раннее упоминание аккаунта и связанных артефактов в открытых источниках, которое нам удалось найти, датируется октябрем 2025 года. Исходя из этого, а также с учетом даты начала регистрации фишинговых доменов мы предполагаем, что активная фаза кампании началась ориентировочно в сентябре 2025 года и продолжается по настоящее время.

Первые упоминания Telegram-аккаунта мошенников
Первые упоминания Telegram-аккаунта мошенников

По совокупности признаков кампания адресована преимущественно организациям малого и среднего бизнеса: в письмах используется деловая лексика, тематика проверок и отчетности, а также формальные требования по предоставлению документов и оплате сопутствующих действий. Выбор временного окна также объясним: конец января совпадает с периодом закрытия годовых обязательств и сдачи отчетности за предыдущий год.

Рекомендации и чек-лист

На практике рекомендации сводятся к простым проверкам, которые можно выполнить даже без почтовых шлюзов и специализированных средств защиты:

  • Внимательно проверяйте доменное имя отправителя и домены, на которые ведут ссылки или QR-коды. Любые дополнительные слова, дефисы, региональные префиксы, а также нетипичные для госорганов зоны и суффиксы — повод остановиться и перепроверить источник на официальном сайте ведомства.

  • Сверяйте то, что заявлено в письме, и то, куда фактически ведет ссылка. Даже если письмо оформлено как госуведомление, переход на сторонний домен, не связанный с официальной инфраструктурой и с темой текста, требует дополнительной проверки.

  • Стоит учитывать формат коммуникации: государственные ведомства используют официальные каналы связи и, как правило, не ведут рабочую переписку в мессенджерах. В случае сомнений не переходите по QR-кодам или ссылкам из письма, а самостоятельно откройте официальный сайт ведомства и найдите контакты или раздел для обращений, чтобы сверить информацию по независимому каналу.

Индикаторы компрометации 

Домены

cfo-fedsfm[.]ru

adm-fedsfm[.]ru

sfzo-rfm[.]ru

adm-sfzo[.]ru

priem-fedsfm[.]ru 

sfzofedsfm[.]ru

fedsfm-adm[.]ru

rfm-adm[.]ru

fedsfm-mvk[.]ru

info-fedsfm[.]ru

msk-fedsfm[.]ru

mvk-fedsfm[.]ru

fedsfm-petition[.]ru

petition-fedsfm[.]ru

fedsfm-115[.]ru

fedsfm-cfo[.]ru

fedsfm-sfzo[.]ru

sfzo-fedsfm[.]ru

fedsfm-rfm[.]ru

fedsfm-info[.]ru

rf-fedsfm[.]ru

fedsfm-rfm[.]online

info-sfzo[.]ru

fedsfmsfzo[.]ru

sfzo-info[.]ru

rfm-fedsfm[.]ru

Группа киберразведки TI-департамента экспертного центра безопасности

Positive Technologies