ComicForm: новая фишинговая кампания в СНГ со стилером FormBook и многоступенчатой загрузкой

CyberSecureFox 🦊

Аналитики F6 зафиксировали целевую фишинговую деятельность группы ComicForm, направленную против компаний в России, а также организаций в Беларуси и Казахстане. Кампания, активная в мае–июне 2025 года и продолжающаяся по сей день, распространяет стилер FormBook, использует поддельные страницы для кражи учетных данных и демонстрирует необычную особенность — скрытые в коде вредоносных вложений ссылки на анимированные GIF с супергероями.

Цели и география атак: Россия, Беларусь, Казахстан

По данным F6, злоумышленники нацеливались на финансовый сектор, туризм, биотехнологии, научные исследования и торговые компании. Для рассылок применялись почтовые адреса на доменах верхнего уровня .ru, .by и .kz; часть отправителей, вероятно, была скомпрометирована. Характерный индикатор кампании — использование reply-to: rivet_kz@…, зарегистрированного в бесплатном российском почтовом сервисе. Отмечены и письма на английском языке, что указывает на потенциал выхода за пределы СНГ.

Фишинговые приманки и вложения: от «Акта сверки» до «Подтвердить пароль»

Темы писем имитировали деловую переписку: «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и др. Один из примеров — сообщение с вложением «Акт_сверки pdf 010.rar», в котором скрывался исполняемый файл «Акт_сверки pdf 010.exe». Запуск такого файла инициировал заражение рабочей станции.

Цепочка заражения: .NET-загрузчик → MechMatrix Pro.dll → Montero.dll

Основной исполняемый файл выступал как обфусцированный .NET-загрузчик. Он распаковывал и динамически исполнял модуль второй стадии MechMatrix Pro.dll, который обращался к ресурсам исходного EXE, дешифровал их и запускал в памяти третий модуль — Montero.dll, классифицированный как дроппер. В типичном для таких схем сценарии дроппер отвечает за доставку и исполнение полезной нагрузки (в данном случае — стилера FormBook) и может организовывать устойчивость в системе и связь с инфраструктурой злоумышленников.

Необычная деталь: скрытые GIF с супергероями

Отличительная особенность рассылок ComicForm — зашитые в код вложений ссылки на анимированные GIF с супергероями (например, с Бэтменом). По оценке исследователей, эти изображения не задействованы в логике атаки и служат лишь «визуальным шумом» либо элементом брендинга/маскировки.

Кража учетных данных: поддельные страницы «хранилищ документов»

Помимо вредоносных вложений, применялись ссылки на фишинговые сайты, имитирующие сервисы хранения и обмена документами. После перехода пользователь видел форму аутентификации, а введенные учетные данные перенаправлялись на удаленные серверы операторов ComicForm. Такой «двухвекторный» подход — стилер плюс фишинг логинов — повышает шансы на компрометацию корпоративных систем.

Активность и тенденции: расширение инфраструктуры

По данным F6, в июне зафиксированы следы атаки на неназванную казахстанскую телеком-компанию, а в начале сентября злоумышленники начали расширять инфраструктуру. «Группировка ComicForm действует как минимум с апреля 2025 года и активна по настоящее время… в начале сентября мы заметили расширение инфраструктуры», — отмечает Владислав Куган, аналитик департамента Threat Intelligence F6.

Контекст угроз: почему это работает

Стилер FormBook — широко известный инструмент для кражи паролей, cookie, данных автозаполнения и содержимого буфера обмена; он активно продается на подпольных площадках и часто попадает в массовые и целевые кампании. По отчету Verizon DBIR 2024, «человеческий фактор» остается решающим в большинстве инцидентов, а фишинг и использование украденных учетных данных — среди главных способов первоначального проникновения.

Рекомендации по защите и детектированию

Технические меры:

  • Запрет на исполнение файлов из архивов (.rar/.zip) и блокировка вложений с двойным расширением (например, pdf.exe).
  • Песочницы и эмуляция для вложений, поведенческие EDR/NGAV с детекцией in-memory загрузчиков (.NET reflection, RunPE, шифрование ресурсов).
  • Фильтрация и переписывание URL, изоляция браузера при переходе по внешним ссылкам.
  • Жесткие политики почты: SPF, DKIM, DMARC с политикой reject/quarantine; проверка параметров Reply-To.
  • Многофакторная аутентификация и ограничение привилегий; мониторинг аномалий входа и доступа.

Процессы и осведомленность:

  • Обучение сотрудников распознаванию фишинга (особенно «деловых» тем писем) и безопасной работе с вложениями.
  • Непрерывное отслеживание индикаторов, связанных с ComicForm (тематики писем, домены .ru/.by/.kz, характерный reply-to) в почтовых логах и SIEM.
  • Регулярные учения по фишингу и проверка готовности реагирования (IR playbooks для инцидентов со стилерами).

ComicForm демонстрирует знакомую, но все еще эффективную комбинацию: правдоподобные деловые письма, многоступенчатые загрузчики и проверенный стилер FormBook. Организациям в России, Беларуси и Казахстане стоит актуализировать фильтры почты, усилить валидацию вложений и внедрить EDR с анализом in-memory активностей. Чем быстрее вы обнаружите подозрительную рассылку и заблокируете точки входа, тем меньше шансов, что украденные учетные данные приведут к более глубокому проникновению в инфраструктуру.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.