PDF, звонок, вирус: новый тип атак, от которых не спасает даже защитное ПО

Каждая инструкция звучит убедительно, пока жертва не сталкивается с последствиями.


zkfv7d96hhcpc6wa9ua9ispxafh9ddh3.jpg


Телефонные мошеннические схемы, маскирующиеся под поддержку популярных брендов, стремительно набирают популярность среди киберпреступников. Специалисты компании Cisco Talos сообщили , что всё чаще злоумышленники используют новый подход под названием TOAD (Telephone-Oriented Attack Delivery), или так называемое обратное фишинговое взаимодействие по телефону. В рамках таких атак жертв вынуждают самостоятельно звонить мошенникам, выдающим себя за сотрудников известных компаний.

Согласно анализу писем с вредоносными PDF-вложениями, проведённому с 5 мая по 5 июня 2025 года, наиболее часто в подобных кампаниях злоумышленники выдавали себя за Microsoft и DocuSign. Также активно использовались бренды NortonLifeLock, PayPal и Geek Squad. Мошенники рассчитывают на высокий уровень доверия пользователей к этим именам и таким образом инициируют дальнейшие действия жертв.

Нередко фишинговые письма содержат PDF-документы с символикой известных компаний, таких как Adobe или Microsoft, внутри которых размещаются QR-коды . Отсканировав их, пользователь может попасть на поддельную страницу входа Microsoft или другую фишинговую платформу, имитирующую сервисы вроде Dropbox. В некоторых случаях ссылки на вредоносные сайты скрывают с помощью аннотаций внутри PDF — например, размещая их в виде «липких» заметок или комментариев, что позволяет обойти стандартные механизмы защиты и повысить доверие к письму.

Особенностью TOAD-атак является то, что злоумышленники побуждают жертву позвонить на указанный в письме номер для якобы подтверждения транзакции или решения проблемы. В ходе разговора мошенник, выдающий себя за сотрудника службы поддержки, убеждает собеседника сообщить конфиденциальные данные или установить на устройство вредоносное ПО.

Эффективность подобных атак во многом зависит от уровня их подготовки: преступники используют скрипты, имитируют работу настоящих колл-центров, включают фоновую музыку ожидания и даже подменяют номера телефонов, чтобы они выглядели легитимными. Чаще всего для связи применяются анонимные VoIP-сервисы, а сами номера остаются активными на протяжении нескольких дней, что позволяет преступникам развернуть многоступенчатую схему обмана.

Как отмечают специалисты Cisco Talos, подобные схемы активно применяются для установки банковских троянов на устройства с Android, а также удалённого доступа к компьютерам жертв. В частности, злоумышленники предлагают установить такие программы, как AnyDesk или TeamViewer, чтобы получить полный контроль над устройством.

В мае 2025 года ФБР официально предупредило о подобных атаках, организованных группировкой Luna Moth , специализирующейся на финансовом вымогательстве. Члены этой группы представляются сотрудниками IT-департаментов компаний и таким образом получают доступ к их сетям.

Дополнительной угрозой стали злоупотребления функцией Direct Send в Microsoft 365. С её помощью преступники отправляют фишинговые письма от имени якобы внутренних сотрудников компании, не взламывая при этом настоящие аккаунты. Благодаря предсказуемому формату адресов доставки сообщений злоумышленники обходят стандартные механизмы аутентификации и защиты. С мая 2025 года подобным способом атаковано более 70 организаций.

Эти атаки похожи на схемы телефонного мошенничества, техподдержки и компрометации корпоративной переписки, однако отличаются использованием других каналов связи и стремлением к постоянному присутствию в системе. Помимо кражи учётных данных, злоумышленники перенаправляют жертв на фальшивые платёжные порталы или представляются сотрудниками финансовых отделов для получения данных банковских карт.

В одном из инцидентов 17 июня 2025 года жертвам было отправлено письмо в стиле уведомления о голосовом сообщении, содержащее PDF с QR-кодом. Этот код вёл на поддельную страницу сбора учётных данных Microsoft 365. Как пояснили специалисты, подобные атаки через Direct Send менее заметны для стандартных систем безопасности, что делает их особенно привлекательными для злоумышленников.

В компании подчёркивают, что обнаружение подделки брендов является одним из ключевых направлений защиты от подобных угроз, учитывая постоянную популярность этой социальной инженерии среди киберпреступников.