Атака началась с отправки на корпоративную почту сотрудника организации фишингового письма с заголовком «Исх. № 451/63-26 от 23.04.2026 г.» и текстом: «Добрый день, просим передать руководству». К письму приложен документ «Инструктаж.docx», посвящённый рискам атак и дефицита топлива. Для противодействия этим угрозам в документе предложено ознакомиться с процедурами реагирования. Для этого пользователя просят открыть вложенный в документ архив «Инструктаж.7z».
Архив «Инструктаж.7z» содержит единственный файл — «Инструктаж.pdf.exe» с двойным расширением для маскировки. После запуска «Инструктаж.pdf.exe» пользователь получает поддельное сообщение об ошибке, однако на самом деле в это время выполняется распаковка explorer.exe. Вредоносное ПО мимикрирует под проводник Windows и названием, и иконкой.
Explorer.exe выполняет поиск в системе файлов с расширениями *.txt, *.csv, *.rtf, *.zip, *.doc, *.docx, *.odt, *.pdf, *.ppt, *.rar, *.xls, *.xlsx и другими. Перечень найденных файлов сохраняется в скрытый файл и выгружается на управляющий сервер злоумышленника.
«В качестве C2-сервера ВПО использует сторонний роутер, который, вероятно, был скомпрометирован и используется как прокси-сервер. На момент исследования осуществить C2-взаимодействие с указанным сервером не удалось», — прокомментировал Александр Рудзик, руководитель направления исследований киберугроз компании «Перспективный мониторинг».
В открытых источниках были найдены и другие связанные с explorer.exe файлы: «Настройки Bitrix.msi» содержит в себе CAB-файл SSbySW, из которого создаётся explorer.exe, аналогичный обнаруженному в текущей фишинговой рассылке; в другой активности используются архив 3D-Komplekt.rar, поддельный установочный файл 3D-Komplekt.msi / OpenVPN-2.7.1.msi / Update_KB839043_26.474.msi, дроппер StickyStrike.exe и стилер explorer.exe.
Чтобы предотвратить такую атаку на организацию, эксперты «Перспективного мониторинга» рекомендуют:
Более детальные рекомендации и индикаторы компрометации размещены на официальном сайте компании «Перспективный мониторинг».
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
Meta* начнет использовать данные о действиях пользователей на сторонних сайтах и в приложениях для персонализации ленты, рекомендаций и ответов ИИ-ассистента.
