С конца декабря и в течение января злоумышленники активизировали фишинговые рассылки, нацеленные на сотрудников оборонной отрасли и государственных структур в России. Как выяснили журналисты, жертвам приходили ссылки, стилизованные под привычный интерфейс Telegram, якобы ведущие к рабочим материалам. Переход по ним оборачивался установкой вредоносного кода и компрометацией учётной записи.
За этой кампанией, по информации специалистов BI.ZONE Threat Intelligence, стояла группировка Vortex Werewolf, известная также под названием SkyCloak. Её действия фиксируются с 2024 года. Основной интерес — данные внутреннего характера, относящиеся к оборонной промышленности России и Белоруссии.
Евгений Панков, представляющий Координационный центр национальных доменов .RU и .РФ, уточнил «Известиям», что злоумышленники специализируются на целенаправленных атаках, а не случайных заражениях. При этом акцент сделан на получении внутренней информации, а не на вымогательстве или хаотичном вредительстве.
Сама схема выглядела максимально правдоподобно. Сотрудник получал ссылку, оформленную под Telegram-хранилище, и приглашение ознакомиться с важным документом. Попав по ссылке, пользователь оказывался на поддельной странице, где его просили подтвердить личность, ввести одноразовый код или облачный пароль. Всё это открывало киберпреступникам доступ к активной сессии Telegram.
На этом атака не останавливалась. После получения доступа к мессенджеру пользователь скачивал архивный файл. Внешне это выглядело как обычный PDF-документ, однако при открытии происходила активация скрипта, дававшего злоумышленникам удалённый контроль над устройством. Внутри архива находились как вредоносный исполняемый код, так и скрытая структура папок с дополнительными файлами, создававшими иллюзию настоящей рабочей документации.
Как объяснил руководитель аналитического подразделения BI.ZONE Олег Скулкин, компрометированный Telegram-аккаунт представляет для преступников особую ценность. Через него можно вести рассылки новым жертвам, выдавая себя за сотрудника компании. Такое сообщение вызывает меньше подозрений и значительно повышает шансы на успех. Кроме того, в «Избранном» у многих пользователей нередко сохраняются изображения паспортов, сканы документов, ссылки на рабочие ресурсы, логины и пароли.
По оценке Олега Скулкина, именно доступ к закрытым перепискам и личным данным открывает перед злоумышленниками возможности для масштабной разведки, сбора информации и продвижения во внутренние системы. В результате атака превращается не в одноразовый инцидент, а в инструмент долгосрочного проникновения.