Не заходите в Gmail через поиск — хакеры приготовили для вас нечто особенное
NewsMakerДоверие к самому популярному почтовому клиенту в мире может дорого обойтись пользователям.
Китайская кибергруппа SilverFox, действующая с июня 2023 года, развернула одну из крупнейших на сегодняшний день кампаний по распространению вредоносного ПО для Windows. Сфокусировавшись на китаеязычных пользователях по всему миру, включая представителей бизнеса за пределами Китая, группа использует более 2 800 доменов, созданных с нуля, для доставки вредоносных файлов, кражи данных и возможного доступа к корпоративным системам.
Кампания активно использует фейковые сайты с поддельными интерфейсами загрузки приложений, обновлениями и логинами. На таких сайтах имитируются известные сервисы — от Gmail до криптовалютных бирж, а также приложения для маркетинга и корпоративных коммуникаций. Приманкой служат якобы легальные программы, которые на деле разворачивают вредоносные скрипты. Так, один из ресурсов копирует страницу входа в Gmail и при вводе данных предлагает пользователю скачать файл «flashcenter_pl_xr_rb_165892.19.zip». Архив содержит установщик, который, в свою очередь, запускает несколько вредоносных исполняемых файлов и загружает зашифрованные полезные нагрузки с внешнего ресурса.
Анализ 850 доменов, зарегистрированных с декабря 2024 года, показал, что по состоянию на июнь 2025 года 266 из них всё ещё активно работают. Временные паттерны создания доменов и первой активности DNS разрешений указывают на то, что операции проходят преимущественно в рабочие часы по китайскому времени. Это может свидетельствовать о сочетании автоматизированных механизмов с ручным контролем — от покупки инфраструктуры до публикации заражённых сайтов.
SilverFox меняет тактику по мере обнаружения своих схем. В последние месяцы они начали использовать скрипты, препятствующие автоматическому анализу и проверке на безопасность. Также группа отказалась от привычных трекеров, таких как Baidu и Facebook, чтобы снизить риск выявления. Адреса IP-ресурсов стали более рассредоточенными, что усложняет попытки блокировки по сигнатурам.
Методы маскировки включают фальсификацию сайтов под популярные платёжные сервисы. Например, сайт yeepays[.]xyz подделывает интерфейс Alipay, а coinbaw[.]vip перенаправляет пользователей на фейковые страницы входа в криптовалютные биржи, такие как Coinbase. Пользователь, введя данные, фактически отдаёт доступ злоумышленникам, при этом ему подсовывается загрузка вредоносного исполняемого файла под видом полезной утилиты.
Детальный анализ вредоносных цепочек показал наличие программ-загрузчиков, маскирующихся под системные процессы Windows, и цепочек с декодированием зашифрованных компонентов, использующих схемы обхода стандартных защит. Это делает обнаружение особенно трудным.
Несмотря на активную работу защитных механизмов, таких как Google Safe Browsing и Microsoft Defender SmartScreen, SilverFox удаётся обходить их с помощью обфускации, подмены доменов и тонкой социальной инженерии. Специалисты в области ИБ рекомендуют усилить защиту за счёт комплексных решений: от продвинутых систем обнаружения угроз и фильтрации DNS до регулярных учений по фишинговым атакам и обязательного применения многофакторной аутентификации.
SilverFox — пример того, как масштаб, устойчивость и локализация позволяют злоумышленникам эффективно атаковать пользователей, особенно тех, кто работает в продажах, маркетинге и трансграничных проектах с китайскими партнёрами.
Китайская кибергруппа SilverFox, действующая с июня 2023 года, развернула одну из крупнейших на сегодняшний день кампаний по распространению вредоносного ПО для Windows. Сфокусировавшись на китаеязычных пользователях по всему миру, включая представителей бизнеса за пределами Китая, группа использует более 2 800 доменов, созданных с нуля, для доставки вредоносных файлов, кражи данных и возможного доступа к корпоративным системам.
Кампания активно использует фейковые сайты с поддельными интерфейсами загрузки приложений, обновлениями и логинами. На таких сайтах имитируются известные сервисы — от Gmail до криптовалютных бирж, а также приложения для маркетинга и корпоративных коммуникаций. Приманкой служат якобы легальные программы, которые на деле разворачивают вредоносные скрипты. Так, один из ресурсов копирует страницу входа в Gmail и при вводе данных предлагает пользователю скачать файл «flashcenter_pl_xr_rb_165892.19.zip». Архив содержит установщик, который, в свою очередь, запускает несколько вредоносных исполняемых файлов и загружает зашифрованные полезные нагрузки с внешнего ресурса.
Анализ 850 доменов, зарегистрированных с декабря 2024 года, показал, что по состоянию на июнь 2025 года 266 из них всё ещё активно работают. Временные паттерны создания доменов и первой активности DNS разрешений указывают на то, что операции проходят преимущественно в рабочие часы по китайскому времени. Это может свидетельствовать о сочетании автоматизированных механизмов с ручным контролем — от покупки инфраструктуры до публикации заражённых сайтов.
SilverFox меняет тактику по мере обнаружения своих схем. В последние месяцы они начали использовать скрипты, препятствующие автоматическому анализу и проверке на безопасность. Также группа отказалась от привычных трекеров, таких как Baidu и Facebook, чтобы снизить риск выявления. Адреса IP-ресурсов стали более рассредоточенными, что усложняет попытки блокировки по сигнатурам.
Методы маскировки включают фальсификацию сайтов под популярные платёжные сервисы. Например, сайт yeepays[.]xyz подделывает интерфейс Alipay, а coinbaw[.]vip перенаправляет пользователей на фейковые страницы входа в криптовалютные биржи, такие как Coinbase. Пользователь, введя данные, фактически отдаёт доступ злоумышленникам, при этом ему подсовывается загрузка вредоносного исполняемого файла под видом полезной утилиты.
Детальный анализ вредоносных цепочек показал наличие программ-загрузчиков, маскирующихся под системные процессы Windows, и цепочек с декодированием зашифрованных компонентов, использующих схемы обхода стандартных защит. Это делает обнаружение особенно трудным.
Несмотря на активную работу защитных механизмов, таких как Google Safe Browsing и Microsoft Defender SmartScreen, SilverFox удаётся обходить их с помощью обфускации, подмены доменов и тонкой социальной инженерии. Специалисты в области ИБ рекомендуют усилить защиту за счёт комплексных решений: от продвинутых систем обнаружения угроз и фильтрации DNS до регулярных учений по фишинговым атакам и обязательного применения многофакторной аутентификации.
SilverFox — пример того, как масштаб, устойчивость и локализация позволяют злоумышленникам эффективно атаковать пользователей, особенно тех, кто работает в продажах, маркетинге и трансграничных проектах с китайскими партнёрами.