Новости, информация об угрозах

Откройте не тот «PDF», и злоумышленники получат удаленный доступ к вашему компьютеру

Автор: Pieter Arntz | 5 февраля 2026 г.
PDF и RAT

Киберпреступники, стоящие за кампанией под названием DEAD#VAX, идут еще дальше в фишинге, доставляя вредоносное ПО внутри виртуальных жестких дисков, которые выглядят как обычные PDF-документы. Откройте не ту «счет-фактуру» или «заказ на покупку», и вы не увидите никакого документа. Вместо этого Windows виртуальный диск, который незаметно устанавливает AsyncRAT, троянский вирус-бэкдор, позволяющий злоумышленникам удаленно отслеживать и контролировать ваш компьютер.

Это инструмент удаленного доступа, что означает, что злоумышленники получают удаленный контроль над клавиатурой, в то время как традиционные средства защиты на основе файлов практически не обнаруживают ничего подозрительного на диске.

С высоты птичьего полета цепочка заражения выглядит длинной, но каждый ее этап сам по себе выглядит достаточно легитимным, чтобы пройти мимо поверхностных проверок.

Жертвы получают фишинговые электронные письма, которые выглядят как обычные деловые сообщения, часто со ссылкой на заказы на покупку или счета-фактуры, а иногда и под видом реальных компаний. В электронном письме нет непосредственного вложения документа. Вместо этого в нем есть ссылка на файл, размещенный в IPFS (InterPlanetary File System) — децентрализованной сети хранения данных, которая все чаще используется в фишинговых кампаниях, поскольку ее контент сложнее удалить и к нему можно получить доступ через обычные веб-шлюзы.

Связанный файл имеет расширение PDF и значок PDF, но на самом деле является файлом виртуального жесткого диска (VHD). Когда пользователь дважды щелкает по нему, Windows его как новый диск (например, диск E:) вместо того, чтобы открыть программу просмотра документов. Монтирование VHD — вполне законное Windows , поэтому этот шаг вряд ли вызовет подозрения.

Внутри подключенного диска находится файл, который выглядит как ожидаемый документ, но на самом деле является файломWindows (WSF). Когда пользователь открывает его, Windows код в файле вместо отображения PDF.

После нескольких проверок, чтобы избежать анализа и обнаружения, скрипт вставляет полезную нагрузку — шелл-код AsyncRAT — в доверенные процессы, подписанные Microsoft, такие как RuntimeBroker.exe, OneDrive.exe, taskhostw.exe, или sihost.exe. Вредоносное ПО никогда не записывает фактический исполняемый файл на диск. Оно существует и работает исключительно в памяти внутри этих легитимных процессов, что значительно затрудняет его обнаружение и, в конечном итоге, криминалистическую экспертизу. Кроме того, оно позволяет избежать резких всплесков активности или использования памяти, которые могли бы привлечь внимание.

Для отдельного пользователя попадание на эту фишинговую рассылку может привести к следующим последствиям:

  • Theft сохраненных и введенных паролей, в том числе для электронной почты, банковских счетов и социальных сетей.
  • Раскрытие конфиденциальных документов, фотографий или других секретных файлов, взятых прямо из системы.
  • Наблюдение с помощью периодических снимков экрана или, если настроено, с помощью веб-камеры.
  • Использование компьютера в качестве плацдарма для атаки на другие устройства в той же домашней или офисной сети.

Как оставаться в безопасности

Поскольку обнаружение может быть затруднительным, пользователям крайне важно проводить определенные проверки:

  • Не открывайте вложения в электронных письмах, пока не убедитесь в их подлинности из надежного источника.
  • Убедитесь, что вы видите фактическое расширения файлов. К сожалению, Windows пользователям скрывать их. Так, в действительности файл будет называться invoice.pdf.vhd пользователь будет видеть только invoice.pdf. Чтобы узнать, как это сделать, см. ниже.
  • Используйте современное решение для защиты от вредоносных программ, работающее в режиме реального времени и способное обнаруживать вредоносные программы, скрывающиеся в памяти.

Отображение расширений файлов в Windows и 11

Чтобы отобразить расширения файлов в Windows и 11:

  • Открыть Проводник (Windows + E)
  • В Windows выберите«Просмотр» и установите флажок«Расширения имен файлов».
  • В Windows это находится в меню«Вид» > «Показать» > «Расширения имен файлов».

В качестве альтернативы, найдите «Параметры проводника » и снимите флажок «Скрывать расширения для известных типов файлов».

Для более старых версий Windows см. эту статью.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

AI
Рука тянется вниз, чтобы схватить одну звездочку из написанного пароля.

Пароли, сгенерированные искусственным интеллектом, представляют угрозу безопасности

Февраль 19, 2026

Пароли, сгенерированные искусственным интеллектом, «легко предсказуемы» и не являются действительно случайными, что упрощает их взлом киберпреступниками.

Новости
Логотип Tenga

Производитель интимных товаров Tenga утекла информация о данных клиентов

Февраль 19, 2026

Фишинговая атака на сотрудника компании Tenga могла привести к утечке данных американских клиентов. Клиентам следует быть начеку в отношении фишинговых попыток с использованием сексуального шантажа.

Утечки данных
Логотип Betterment

Утечка данных Betterment может быть серьезнее, чем мы думали

Февраль 18, 2026

Теперь эта утечка выглядит гораздо более серьезной. Утечка данных включает в себя подробную личную и финансовую информацию, которую могут использовать фишеры.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы