Мошенничество, угрозы

Как поддельные приглашения на вечеринки используются для установки инструментов удаленного доступа

Автор: Стефан Дасич | 2 февраля 2026 г.
приглашение на вечеринку

«Вы приглашены!» 

Это звучит дружелюбно, знакомо и совершенно безобидно. Но в недавнем случае мошенничества, который мы обнаружили, эта простая фраза используется для того, чтобы обманом заставить жертв установить на своиWindows полнофункциональный инструмент удаленного доступа, дающий злоумышленникам полный контроль над системой. 

То, что выглядит как обычное приглашение на вечеринку или мероприятие, приводит к незаметной установкеScreenConnect — легального инструмента удаленной поддержки, который тихо устанавливается в фоновом режиме и используется злоумышленниками. 

Вот как работает эта афера, почему она эффективна и как защитить себя. 

Электронное письмо: приглашение на вечеринку 

Жертвы получают электронное письмо, оформленное как личное приглашение, часто написанное так, чтобы выглядеть как письмо от друга или знакомого. Сообщение намеренно написано в неформальном и дружеском стиле, чтобы снизить подозрения и побудить к быстрым действиям. 

На скриншоте ниже показано письмо, пришедшее от друга, чей почтовый ящик был взломан, но оно могло бы с таким же успехом прийти от неизвестного вам отправителя.

Пока что мы видели эту кампанию только в Великобритании, но ничто не мешает ей распространиться и на другие страны. 

При нажатии на ссылку в электронном письме открывается тщательно оформленная страница с приглашением, размещенная на домене, контролируемом злоумышленником. 

Приглашение на вечеринку по электронной почте от контакта

Приглашение: целевая страница, ведущая к установщику 

Целевая страница в значительной степени ориентирована на тему вечеринки, но вместо того, чтобы показывать подробности мероприятия, она подталкивает пользователя к открытию файла. Ни один из них сам по себе не выглядит опасным, но вместе они удерживают внимание пользователя на файле «приглашение»: 

  • Смелый заголовок «Вы приглашены!» 
  • Предположение, что приглашение прислал друг 
  • Сообщение о том, что приглашение лучше всего просматривать наWindows или настольном компьютереWindows
  • Обратный отсчет, предполагающий, что ваше приглашение уже «загружается» 
  • Сообщение, подразумевающее срочность и социальное доказательство («Я открыл свой, и это было так просто!»

В течение нескольких секунд браузер перенаправляется на страницу загрузки. RSVPPartyInvitationCard.msi 

Страница даже автоматически запускает загрузку, чтобы жертва продолжала действовать, не останавливаясь, чтобы подумать. 

Этот файл MSI не является приглашением. Это установщик. 

Целевая страница

Гость: Что на самом деле делает MSI 

Когда пользователь открывает файл MSI, запускается msiexec.exe и в фоновом режиме устанавливаетсяScreenConnect Client — легальный инструмент удаленного доступа, часто используемый службами IT-поддержки.  

Нет приглашения, формы для подтверждения участия или записи в календаре. 

Что происходит вместо этого: 

  • Бинарные файлы ScreenConnect устанавливаются в папку C:\Program Files (x86)\ScreenConnect Client\ 
  • Создается постоянная Windows (например, ScreenConnect Client 18d1648b87bb3023) 
  • ScreenConnect устанавливает несколько компонентов на основе .NET 
  • Нет четких индикаторов для пользователя о том, что устанавливается инструмент удаленного доступа. 

С точки зрения жертвы, кажется, что ничего особенного не происходит. Но на этом этапе злоумышленник уже может получить удаленный доступ к ее компьютеру. 

После вечеринки: установлен удаленный доступ 

После установки клиент ScreenConnect инициирует зашифрованные исходящие соединения с ретрансляционными серверами ScreenConnect, включая уникально назначенный домен экземпляра.

Это соединение предоставляет злоумышленнику такой же уровень доступа, как и удаленному ИТ-специалисту, включая возможность: 

  • Смотрите экран жертвы в режиме реального времени
  • Управление мышью и клавиатурой 
  • Загрузка или скачивание файлов 
  • Сохранять доступ даже после перезагрузки компьютера 

Поскольку ScreenConnect является легальным программным обеспечением, которое обычно используется для удаленной поддержки, его наличие не всегда очевидно. На персональном компьютере первые признаки часто связаны с поведением, например, необъяснимым движением курсора, самостоятельным windows или процессом ScreenConnect, который пользователь не помнит, что устанавливал. 

Почему эта афера работает 

Эта кампания эффективна, потому что она нацелена на нормальное, предсказуемое поведение человека. С точки зрения поведенческой безопасности, она использует наше естественное любопытство и выглядит как низкорисковая. 

Большинство людей не считают приглашения опасными. Открытие приглашения воспринимается как пассивное действие, подобное просмотру листовки или проверки сообщения, а не установке программного обеспечения. 

Даже пользователи, заботящиеся о безопасности, обучены обращать внимание на предупреждения и давление. Дружеское сообщение «Вы приглашены» не вызывает у них тревоги. 

К тому времени, когда что-то кажется не так, программное обеспечение уже установлено. 

Признаки того, что ваш компьютер может быть заражен 

Следите за: 

  • Загружаемый или исполняемый файл с именем RSVPPartyInvitationCard.msi 
  • Неожиданная установкаScreenConnect Client 
  • Windows с именем ScreenConnect Client, состоящим из случайных символов  
  • Ваш компьютер устанавливает исходящие HTTPS-соединения с доменами ретрансляции ScreenConnect. 
  • Ваша система разрешает домен, используемый для размещения приглашений в этой кампании, xnyr[.]digital. 

Как оставаться в безопасности  

Эта кампания напоминает о том, что современные атаки часто не проникают в систему — их приглашают внутрь. Инструменты удаленного доступа дают злоумышленникам полный контроль над системой. Быстрое реагирование может ограничить ущерб.  

Для физических лиц 

Если вы получили такое электронное письмо: 

  • С подозрением относитесь к приглашениям, в которых вас просят загрузить или открыть программное обеспечение. 
  • Никогда не запускайте файлы MSI из незапрошенных электронных писем. 
  • Перед тем как открывать что-либо, проверьте приглашения через другой канал. 

Если вы уже щелкнули или запустили файл:  

  • Немедленно отключитесь от Интернета 
  • Проверьте наличие ScreenConnect и удалите его, если он есть. 
  • Запустить полное сканирование безопасности 
  • Измените важные пароли с чистого, незараженного устройства. 

Для организаций (особенно в Великобритании) 

  • Предупреждение о несанкционированных установках ScreenConnect
  • Ограничьте выполнение MSI, где это возможно 
  • Относитесь к «инструментам удаленной поддержки» как к программному обеспечению с высоким уровнем риска.
  • Обучите пользователей: приглашения не приходят в виде установочных файлов 

Этот вид мошенничества заключается в установке легального инструмента удаленного доступа без явного намерения пользователя. Именно эту лазейку Malwarebytes закрыть Malwarebytes .

Malwarebytes обнаруживает вновь установленные инструменты удаленного доступа и предупреждает вас, когда такой инструмент появляется в вашей системе. Затем вам предоставляется выбор: подтвердить, что инструмент является ожидаемым и надежным, или удалить его, если это не так.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

AI
Рука тянется вниз, чтобы схватить одну звездочку из написанного пароля.

Пароли, сгенерированные искусственным интеллектом, представляют угрозу безопасности

Февраль 19, 2026

Пароли, сгенерированные искусственным интеллектом, «легко предсказуемы» и не являются действительно случайными, что упрощает их взлом киберпреступниками.

Новости
Логотип Tenga

Производитель интимных товаров Tenga утекла информация о данных клиентов

Февраль 19, 2026

Фишинговая атака на сотрудника компании Tenga могла привести к утечке данных американских клиентов. Клиентам следует быть начеку в отношении фишинговых попыток с использованием сексуального шантажа.

Утечки данных
Логотип Betterment

Утечка данных Betterment может быть серьезнее, чем мы думали

Февраль 18, 2026

Теперь эта утечка выглядит гораздо более серьезной. Утечка данных включает в себя подробную личную и финансовую информацию, которую могут использовать фишеры.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы