Windows спрашивает разрешения - вредоносный скрипт сам нажимает "Да"

AmnesicNode

AmnesicNode

Member
В первом квартале 2026 года российские компании столкнулись с резким всплеском вредоносной активности. Эксперты Positive Technologies обнаружили 808 новых образцов вредоносного ПО, связанных с 11 хакерскими группировками. Это на 38% больше, чем за аналогичный период 2025 года.

windows.png

Атаки ускорялись к концу квартала: в январе насчитали 117 новых образцов, в феврале - уже 283, а в марте - 408. Главной мишенью оставался госсектор (17,86% инцидентов). Финансы и гражданское общество получили по 9,82%, промышленность - 8,04%.

Почти три четверти новых угроз (около 72%) исходили от четырёх группировок: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117.

Rare Werewolf использовала легальную программу AnyDesk для удалённого доступа. Заразив компьютер, цепочка передавала идентификатор AnyDesk операторам через комментарии на GitHub Gist, после чего хакеры подключались к системе. Самая интересная деталь - вспомогательный скрипт, который автоматически нажимал кнопки в окнах предупреждений Windows. Жертва просто не успевала отказаться от запуска опасного ПО.

PhaseShifters вела фишинг против авиастроения и оборонки. После открытия вредоносного вложения на устройство попадал троян Remcos, дающий полный удалённый контроль, запись экрана и перехват нажатий клавиш.

PhantomCore рассылала письма с LNK-ярлыками. Открытие ярлыка запускало PowerShell-скрипт, открывая путь для дальнейшего заражения.

Hive0117 атаковала бухгалтерии через трояна DarkWatchman. Он перехватывал клавиатурный ввод и стирал точки восстановления Windows, чтобы жертва не могла откатить систему. Для связи с сервером управления использовался алгоритм генерации доменов - это помогало обходить блокировки.

Другие группировки тоже не отставали. Часть вредоносных программ выглядела так, будто их написал ИИ: шаблонные названия переменных и многословные комментарии на английском. Хакеры прятали скрипты в реестре Windows, эксплуатировали уязвимость CVE-2026-21509 в Microsoft Office, рассылали документы с макросами под видом кадровых анкет и хранили вредоносные компоненты на легальных облачных платформах - GitHub, Firebase, Bitbucket.

Денис Казаков из Positive Technologies подчеркнул: атакующие комбинируют приёмы - от ИИ-сгенерированного кода до использования облачных хранилищ для контроля над атаками.
 
ScriptStealer

ScriptStealer

Member
AmnesicNode сказал(а):
В первом квартале 2026 года российские компании столкнулись с резким всплеском вредоносной активности. Эксперты Positive Technologies обнаружили 808 новых образцов вредоносного ПО, связанных с 11 хакерскими группировками. Это на 38% больше, чем за аналогичный период 2025 года.

Посмотреть вложение 109

Атаки ускорялись к концу квартала: в январе насчитали 117 новых образцов, в феврале - уже 283, а в марте - 408. Главной мишенью оставался госсектор (17,86% инцидентов). Финансы и гражданское общество получили по 9,82%, промышленность - 8,04%.

Почти три четверти новых угроз (около 72%) исходили от четырёх группировок: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117.

Rare Werewolf использовала легальную программу AnyDesk для удалённого доступа. Заразив компьютер, цепочка передавала идентификатор AnyDesk операторам через комментарии на GitHub Gist, после чего хакеры подключались к системе. Самая интересная деталь - вспомогательный скрипт, который автоматически нажимал кнопки в окнах предупреждений Windows. Жертва просто не успевала отказаться от запуска опасного ПО.

PhaseShifters вела фишинг против авиастроения и оборонки. После открытия вредоносного вложения на устройство попадал троян Remcos, дающий полный удалённый контроль, запись экрана и перехват нажатий клавиш.

PhantomCore рассылала письма с LNK-ярлыками. Открытие ярлыка запускало PowerShell-скрипт, открывая путь для дальнейшего заражения.

Hive0117 атаковала бухгалтерии через трояна DarkWatchman. Он перехватывал клавиатурный ввод и стирал точки восстановления Windows, чтобы жертва не могла откатить систему. Для связи с сервером управления использовался алгоритм генерации доменов - это помогало обходить блокировки.

Другие группировки тоже не отставали. Часть вредоносных программ выглядела так, будто их написал ИИ: шаблонные названия переменных и многословные комментарии на английском. Хакеры прятали скрипты в реестре Windows, эксплуатировали уязвимость CVE-2026-21509 в Microsoft Office, рассылали документы с макросами под видом кадровых анкет и хранили вредоносные компоненты на легальных облачных платформах - GitHub, Firebase, Bitbucket.

Денис Казаков из Positive Technologies подчеркнул: атакующие комбинируют приёмы - от ИИ-сгенерированного кода до использования облачных хранилищ для контроля над атаками.
Нажмите, чтобы раскрыть...
Посмотрел отчёт Positive Technologies за первый квартал 2026-го. 808 свежих образцов вредоносного ПО, рост на 38% за год - цифры неприятные. Четыре группировки штампуют почти три четверти всего нового зловреда. Rare Werewolf вообще красавчики: используют легальный AnyDesk для удалённого доступа, а скрипт за жертву сам прожимает кнопки в окнах предупреждений Windows. Пока ты моргаешь, доступ уже получен. Ещё любопытная деталь - часть кода выглядит так, будто его нейросеть писала: шаблонные переменные и корявые английские комментарии. Видимо, кто-то реально ускоряет разработку через ИИ. Облачные платформы вроде GitHub и Firebase стали нормой для хранения вредоносных компонентов, трафик туда ни у кого подозрений не вызывает. Госсектор и оборонка как всегда под прицелом, старые добрые макросы в офисных документах никуда не делись. Тенденция простая: атакующие мешают всё в кучу - от ИИ до социалки - и прекрасно себя чувствуют.
 
AmnesicNode

AmnesicNode

Member
AmnesicNode сказал(а):
В первом квартале 2026 года российские компании столкнулись с резким всплеском вредоносной активности. Эксперты Positive Technologies обнаружили 808 новых образцов вредоносного ПО, связанных с 11 хакерскими группировками. Это на 38% больше, чем за аналогичный период 2025 года.

Посмотреть вложение 109

Атаки ускорялись к концу квартала: в январе насчитали 117 новых образцов, в феврале - уже 283, а в марте - 408. Главной мишенью оставался госсектор (17,86% инцидентов). Финансы и гражданское общество получили по 9,82%, промышленность - 8,04%.

Почти три четверти новых угроз (около 72%) исходили от четырёх группировок: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117.

Rare Werewolf использовала легальную программу AnyDesk для удалённого доступа. Заразив компьютер, цепочка передавала идентификатор AnyDesk операторам через комментарии на GitHub Gist, после чего хакеры подключались к системе. Самая интересная деталь - вспомогательный скрипт, который автоматически нажимал кнопки в окнах предупреждений Windows. Жертва просто не успевала отказаться от запуска опасного ПО.

PhaseShifters вела фишинг против авиастроения и оборонки. После открытия вредоносного вложения на устройство попадал троян Remcos, дающий полный удалённый контроль, запись экрана и перехват нажатий клавиш.

PhantomCore рассылала письма с LNK-ярлыками. Открытие ярлыка запускало PowerShell-скрипт, открывая путь для дальнейшего заражения.

Hive0117 атаковала бухгалтерии через трояна DarkWatchman. Он перехватывал клавиатурный ввод и стирал точки восстановления Windows, чтобы жертва не могла откатить систему. Для связи с сервером управления использовался алгоритм генерации доменов - это помогало обходить блокировки.

Другие группировки тоже не отставали. Часть вредоносных программ выглядела так, будто их написал ИИ: шаблонные названия переменных и многословные комментарии на английском. Хакеры прятали скрипты в реестре Windows, эксплуатировали уязвимость CVE-2026-21509 в Microsoft Office, рассылали документы с макросами под видом кадровых анкет и хранили вредоносные компоненты на легальных облачных платформах - GitHub, Firebase, Bitbucket.

Денис Казаков из Positive Technologies подчеркнул: атакующие комбинируют приёмы - от ИИ-сгенерированного кода до использования облачных хранилищ для контроля над атаками.
Нажмите, чтобы раскрыть...
А меня в этом отчёте больше всего зацепил трюк Rare Werewolf со скриптом, который сам за пользователя клацает по кнопкам. Сидит человек, видит всплывающее окно, тянется мышкой отменить - а кнопка уже сама нажалась. Пару секунд - и хакер внутри системы. Никаких тебе сложных эксплойтов, просто знание психологии: обычный юзер тупит доли секунды, а скрипту этого хватает. Вот за такие детали я и люблю читать разборы атак, а не сухие цифры про рост на 38%. Методы старые, но подача креативная.
 
cvbasncn432jhsd

cvbasncn432jhsd

Member
Обрати внимание на цифры по месяцам: январь - 117, февраль - 283, март - 408. Это не просто рост, это почти идеальная экспонента. Если динамика сохранится, к концу года будем видеть по тысяче новых образцов в месяц. Группировки явно наращивают производство, и делают это не в гараже на коленке, а вполне себе промышленными темпами.
Rare Werewolf вообще доставили. Мало того что используют легальный софт, чтобы не палить кастомные тулзы, так ещё и подсунули скрипт-кликер, который живого пользователя обгоняет в скорости нажатия кнопки. Это простой приём, но до чего же изящный. Обычный юзер даже не понимает, что сейчас произошло, окно мелькнуло и пропало. А доступ уже слит.
Отдельная тема - ИИ-сгенерированный код. Раньше хакерские тулзы писали вручную, и по стилю можно было атрибутировать группировку. А теперь безымянные переменные, одинаковые комментарии, шаблонная структура. Через год-два аналитика по атрибуции превратится в гадание на кофейной гуще. Кто автор - китайцы, иранцы или школота из условного Улан-Удэ? Поди разбери, когда за всех нейросеть код набивает.
Облачные платформы для хранения вредоносов - это вообще гениально в своей наглости. Лежит зловред на GitHub в приватном репе или на Firebase, и весь трафик к нему выглядит абсолютно легитимно. Ни одна сетевая сигнатурка не запищит. Атакующие мимикрируют под легальных пользователей быстрее, чем защитные системы адаптируются.
И да, бухгалтерии по-прежнему в топе целей. Потому что именно там лежат платёжки, первичка и банковские клиенты. Хакеры не дураки, они идут туда, где деньги. DarkWatchman со стиранием точек восстановления - это уже не кража, это зачистка. Чтобы жертва не просто заплатила, а заплатила и осталась без возможности откатиться. Методы становятся всё более безжалостными.
 
S

script_boy_in_the_house

Member
Это гениально в своей простоте. Мы привыкли, что системные предупреждения - последний рубеж обороны. Типа сейчас выскочит окно, я увижу, нажму "Нет" и всё. А скрипт жмёт "Да" быстрее, чем ты моргаешь. Пока мозг обрабатывает картинку на экране, доступ уже получен. Никакого сложного эксплойта, никакой уязвимости нулевого дня, просто скорость против человеческой реакции.

И вот что пугает: антивирус при этом молчит, потому что технически пользователь сам дал разрешение. Ну дал и дал, всё легитимно. Rare Werewolf нашли идеальный зазор между системой безопасности и физиологией человека. Красиво, ничего не скажешь. Жутковато, но красиво.
 
Для ответа нужно войти/зарегистрироваться
Верх