Почему такие письма выглядят убедительно?

Атакующие копируют стиль реальных уведомлений, используют знакомые слова про безопасность и давят на срочность. Человек видит привычный бренд и не успевает заметить, что вложение ведёт к запуску вредоносного файла.

Чем опасен LNK-файл в архиве?

LNK-файл выглядит как обычный ярлык, но может запускать цепочку команд и скриптов. Если пользователь ждёт документ, а получает ярлык в ZIP-архиве, это сильный признак атаки.

Что делать, если я уже открыл подозрительное вложение?

Сразу отключите устройство от сети, не вводите пароли и передайте инцидент специалистам. Затем проверьте систему на следы посторонних задач, скриптов и неизвестных процессов.

Фейковые уведомления Microsoft и доставка NarwhalRAT

Раньше такие атаки считались грубой подделкой писем, которую легко распознать по орфографии и странным вложениям. Теперь злоумышленники копируют стиль легитимных уведомлений почти безупречно, а в архиве прячут не документ, а цепочку запуска вредоносного кода.

1) История инцидента

Исследователи Genians Security Center сообщили о кампании северокорейской группировки ScarCruft, которую также отслеживают как APT37. Письма маскировались под уведомления о безопасности Microsoft Account* и давили на страх: якобы кто-то много раз сгенерировал одноразовые пароли, а значит, аккаунт уже под угрозой.

Схема выглядела правдоподобно. В тексте письма жертве предлагали открыть приложенную «инструкцию», но вместо документа там лежал ZIP-архив с вредоносным LNK-файлом. После запуска он начинал многоступенчатую установку NarwhalRAT — Python-трояна удалённого доступа, который заточен под кражу данных и слежку за заражённой системой.

Судя по описанию, группа использовала и ещё один слой маскировки: промежуточные скрипты подтягивали официальный Python-исполняемый файл и CAT-файл Windows, а закрепление в системе шло через планировщик задач. Это позволяло запускать основную нагрузку в памяти и не оставлять лишних следов на диске.

2) Что пошло не так в защите

Главная проблема здесь — ставка на доверие к знакомому бренду. Пользователь видит «алерт безопасности», слово «abnormal activity» и письмо с призывом срочно сменить пароль. Для многих этого хватает, чтобы перестать проверять вложение и кликнуть по файлу.

Вторая ошибка — ставка на один признак вместо цепочки признаков. ZIP-архив, LNK-файл, срочность, тема про одноразовые коды и просьба открыть «документ» — вместе это уже не похоже на обычное уведомление. Именно на такую невнимательность и рассчитывают атакующие.

Третья деталь — сложность самой нагрузки. NarwhalRAT умеет логировать нажатия клавиш, делать снимки экрана, записывать звук, собирать содержимое каталогов, смотреть активные окна, вытаскивать данные с USB-носителей и выполнять команды с удалённого сервера управления. Для атакующего это почти полноценный удалённый пульт.

Отдельно стоит отметить маскировку под папку %APPDATA%\naverwhale. Название выбрали не случайно: оно напоминает браузер Naver Whale и должно усыпить бдительность при беглом просмотре файлов.

В похожих историях важную роль играет и контроль трафика. О том, почему сигнатур уже недостаточно и компании переходят к поведенческому анализу, мы подробно разбирали в материале почему сигнатуры устаревают, а АСУ ТП переходит к поведенческой аналитике.

3) Уроки для читателя

История с NarwhalRAT показывает простую вещь: фишинг (от англ. phishing — выуживание) давно вышел за рамки массовой рассылки с примитивными ссылками. Сейчас злоумышленники стараются не столько «взломать» систему, сколько убедить человека самому запустить заражение.

Для обычного пользователя это означает три базовых правила. Во-первых, любое письмо про «подозрительную активность» нужно проверять отдельно, а не через кнопку в самом письме. Во-вторых, архивы и ярлыки особенно опасны, если вам обещали документ, а подсунули исполняемый файл. В-третьих, срочность — это не аргумент, а повод остановиться.

Для компаний вывод ещё жёстче. Нужны фильтры для вложений, контроль запуска LNK и скриптов, ограничение прав пользователей, а также мониторинг подозрительных задач в планировщике. Если сотрудник привык работать из дома или в дороге, ему нужен более аккуратный набор инструментов, включая защищённое подключение для удалённой работы как часть общей гигиены устройства и сети.

4) Практические выводы и чек-лист

Если свести этот кейс к короткой памятке, получится следующее:

Проверяйте адрес отправителя и не доверяйте письму только из-за логотипа знакомой компании.
Не открывайте ZIP-архивы и LNK-файлы, если не ждали такого вложения.
Не переходите по просьбе срочно сменить пароль из самого письма — лучше вручную зайти в официальный кабинет.
Следите за неожиданными задачами в планировщике Windows и странными папками в профиле пользователя.
Обновляйте систему и софт, чтобы закрывать известные дыры в цепочках запуска.
Для рабочих устройств включайте контроль вложений, макросов и запуска скриптов.
Если файл уже открыли, немедленно отключите устройство от сети и передайте его специалистам.
Разберите похожие схемы на практике: письмо-ловушка редко приходит одно и то же дважды — у атакующих много вариантов.

Смысл этого инцидента не в экзотике северокорейской группы. Смысл в том, что поддельное уведомление о безопасности и вредоносный архив по-прежнему отлично работают, если человек торопится и не проверяет детали.