Злоумышленники начали использовать обычный файл шрифта для доставки вредоносного ПО с низкой обнаруживаемостью, способного красть учетные данные и закрепляться в скомпрометированных системах Windows.
Согласно новому исследованию FortiGuard Labs (подразделение Fortinet), глобальная фишинговая кампания активно применяет сильно обфусцированный JavaScript и загрузчик на Lua, маскирующийся под файл шрифта TrueType (TTF), чтобы обходить защиту и внедрять RAT-трояны и инфостилеры.
Файл TTF — это стандартный файл шрифта, используемый операционными системами и приложениями для отображения текста.
С конца марта 2026 года в рамках кампании развертываются такие семейства вредоносных программ, как Agent Tesla, Remcos, XWorm и вариант кейлоггера Snake, известный как Best Private LOGGER. «В этих атаках злоумышленник выдает себя за несколько известных компаний, используя предлог делового сотрудничества для запуска фишинговых атак», — сообщили исследователи FortiGuard в записи в блоге.
Говоря о том, что новая техника атак по-прежнему опирается на традиционные фишинговые уловки, Шейн Барни, директор по информационной безопасности (CISO) Keeper Security, отметил: «Самое изощренное техническое уклонение в мире по-прежнему начинается одинаково: кто-то открывает письмо от, казалось бы, надежной компании и действует по его инструкции».
«Слои обфускации, загрузчик Lua, замаскированный под файл шрифта, бесфайловая цепочка выполнения — все это существует для того, чтобы выжить после обнаружения после того, как человеческое решение уже принято, и организациям стоило бы держать это в поле зрения», — добавил он.
Используются фишинговые приманки на тему бизнеса и платежей
По словам исследователей, жертвы получают фишинговые письма, в которых злоумышленники выдают себя за известные компании и используют темы делового сотрудничества или платежей, чтобы обманом заставить получателей открыть сжатые архивы. Эти архивы содержат обфусцированный JScript, который обеспечивает закрепление в системе, после чего сбрасывает либо легитимный исполняемый файл Autolt, либо интерпретатор LuaJIT вместе с вредоносным скриптом, упакованным в расширение .ttf.
Поддельный файл шрифта функционирует как загрузчик на Lua, который выполняет несколько этапов деобфускации, прежде чем расшифровать и выполнить шелл-код непосредственно в памяти.
«Средства безопасности не могут рассматривать расширение файла как доказательство его типа или назначения», — сказал Джейсон Сороко, старший научный сотрудник Sectigo. «Каждый компонент (кампании) может выглядеть менее подозрительным при отдельном рассмотрении, в то время как комбинированная последовательность приводит к выполнению RAT-троянов и инфостилеров в памяти».
Некоторые новые варианты, как отмечают исследователи, становятся все более изощренными: они используют сегментированное шифрование шелл-кода, дешифрование во время выполнения на основе векторизованного обработчика исключений (VEH), обход AMSI и ETW, снятие перехвата API и другие методы антианализа, предназначенные для обхода защиты конечных точек.
Финальная вредоносная нагрузка доставляется с помощью шелли-кода Donut, что позволяет выполнять нагрузку без записи на диск.
Защита требует целенаправленных мер смягчения и регулярной гигиены безопасности
Результаты исследования Fortinet подтверждают, что конечная цель атакующих — кража учетных данных и поддержание долгосрочного доступа. Наблюдаемые семейства вредоносных программ, включая Agent Tesla, Remcos, XWorm и Best Private LOGGER, все нацелены на кражу учетных данных, слежку или удаленный доступ.
Барни заявил, что организациям следует сопротивляться желанию сосредотачиваться исключительно на технической изощренности загрузчика, а вместо этого укреплять системы, которые атакующие в конечном итоге хотят скомпрометировать.
По его мнению, все сводится к контролю доступа и идентификации, поскольку сигнатурное обнаружение часто неэффективно против загрузчиков такого уровня сложности. «Ограничение того, к чему может получить доступ любой заданный набор учетных данных, внедрение принципа наименьших привилегий, требование повторной аутентификации для чувствительных систем и мониторинг аномального поведения сеансов не остановят каждое фишинговое письмо, но они существенно ограничат возможности атакующего после того, как одно из них достигнет цели», — пояснил он.
Сороко, в свою очередь, рекомендует сосредоточить средства контроля на технических индикаторах. Он призвал организации ограничивать Windows Script Host, Autolt и LuaJIT везде, где они не требуются для работы, отслеживать такие действия, как внедрение процессов, удаленное выделение памяти и выполнение шелл-кода, а также использовать опубликованные Fortinet индикаторы для охоты за угрозами.
Индикаторы компрометации (IOC), которыми поделилась Fortinet, включают адреса командных центров (C2), хеши файлов и имена файлов.
Сороко предупредил, что не следует полагаться исключительно на хеши или инфраструктуру C2, поскольку загрузчик со временем меняется. «Более надежный подход — обнаруживать стабильное поведение в разных версиях, а затем тестировать средства защиты на полной цепочке», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma




