Операция выполнена!
Закрыть
Хабы: Информационная безопасность, Антивирусная защита, Конференции, Исследования и прогнозы в IT, Читальный зал

Представьте обычное рабочее письмо: знакомый логотип ИБ-компании, подпись директора, реквизиты, блок об электронной подписи и архив с программой конференции. Внутри действительно может лежать программа. Рядом — троян.

Сразу две российские ИБ-конференции предупредили о поддельных приглашениях, которые рассылали от их имени. Схемы оказались почти одинаковыми: деловой по виду PDF, архив с паролем, форма регистрации и исполняемые файлы, которые получателю предлагали открыть ради гостевого билета.

Но сама идея гораздо старше. Ещё в 2016 году злоумышленники использовали приглашение на Cybersecurity Summit Palo Alto Networks. Позже приманкой стала конференция CyCon, а в 2025 году атакующие уже неделями вели переписку от имени организаторов европейских мероприятий и отправляли вредоносную ссылку только после того, как жертва начинала им доверять. В Operation Capsule Vault пошли ещё дальше: пользователю показывали настоящий документ, пока вредоносное ПО запускалось в фоне.

Я собрал несколько таких кампаний в одну цепочку — от Word-файлов с макросами до OAuth, Device Code, ISO-образов и загрузки вредоносного кода через облачные сервисы. Без рассказов о «глупых пользователях». Без попытки выдать пересказ чужих расследований за собственное исследование.

В статье разберём, почему тема ИБ-конференций так удобна для атакующих, за счёт чего поддельные письма выглядят убедительно и где заканчивается обычная невнимательность получателя.

Читать далее
Читайте также
НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro