МОСКВА, 17 дек -. Специалисты «Лаборатории Касперского» обнаружили новую волну кибератак, в этот раз направленную на российских ученых — политологов, специалистов по международным отношениям, экономистов ведущих российских вузов и НИИ, рассказали в компании.
«В октябре 2025 года эксперты Kaspersky GReAT обнаружили новую волну целевых кибератак «Форумного тролля». Эта кампания впервые была выявлена в марте 2025 года. На этот раз мишенями злоумышленников стали политологи, специалисты по международным отношениям, экономисты ведущих российских вузов и НИИ. Они получали поддельные адресные уведомления о проверке на плагиат», — сообщили в компании.
Так, рассылка фишинговых писем производилась с электронного адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru. В сообщениях находилась ссылка якобы с отчетом, в котором сообщалось, на чем основаны подозрения в плагиате.
После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В нем находились папка с обычными изображениями и ярлык файла с вредоносным программным обеспечением (ПО). Нажатие на ярлык приводило к загрузке зловреда и его установке на компьютер жертвы, то есть вредоносное ПО могло продолжать свое действие даже в случае перезагрузки устройства, пояснили специалисты. Одновременно с этим открывался нечеткий PDF-файл, якобы он и содержал информацию о плагиате.
Отмечается, что финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для взлома. Компании часто используют его для тестирования уровня защищенности собственной инфраструктуры. Злоумышленники же с его помощью получали удаленный доступ к устройствам жертв и проводили дальнейшие действия внутри сети.
«Атакующие тщательно подготовили онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, выводили разные сообщения в зависимости от ОС и, похоже, ограничивали повторные загрузки, чтобы затруднить анализ. На сайте, имитировавшем реальный сайт электронной библиотеки, были следы, указывающие на то, что он работал как минимум с декабря 2024 года. Это означает, что кибератаку готовили много месяцев. В настоящий момент сайт заблокирован», — пояснили в компании.
Источник: РИА Новости