Аналитики F6 зафиксировали целевую фишинговую деятельность группы ComicForm, направленную против компаний в России, а также организаций в Беларуси и Казахстане. Кампания, активная в мае–июне 2025 года и продолжающаяся по сей день, распространяет стилер FormBook, использует поддельные страницы для кражи учетных данных и демонстрирует необычную особенность — скрытые в коде вредоносных вложений ссылки на анимированные GIF с супергероями.
Цели и география атак: Россия, Беларусь, Казахстан
По данным F6, злоумышленники нацеливались на финансовый сектор, туризм, биотехнологии, научные исследования и торговые компании. Для рассылок применялись почтовые адреса на доменах верхнего уровня .ru, .by и .kz; часть отправителей, вероятно, была скомпрометирована. Характерный индикатор кампании — использование reply-to: rivet_kz@…, зарегистрированного в бесплатном российском почтовом сервисе. Отмечены и письма на английском языке, что указывает на потенциал выхода за пределы СНГ.
Фишинговые приманки и вложения: от «Акта сверки» до «Подтвердить пароль»
Темы писем имитировали деловую переписку: «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и др. Один из примеров — сообщение с вложением «Акт_сверки pdf 010.rar», в котором скрывался исполняемый файл «Акт_сверки pdf 010.exe». Запуск такого файла инициировал заражение рабочей станции.
Цепочка заражения: .NET-загрузчик → MechMatrix Pro.dll → Montero.dll
Основной исполняемый файл выступал как обфусцированный .NET-загрузчик. Он распаковывал и динамически исполнял модуль второй стадии MechMatrix Pro.dll, который обращался к ресурсам исходного EXE, дешифровал их и запускал в памяти третий модуль — Montero.dll, классифицированный как дроппер. В типичном для таких схем сценарии дроппер отвечает за доставку и исполнение полезной нагрузки (в данном случае — стилера FormBook) и может организовывать устойчивость в системе и связь с инфраструктурой злоумышленников.
Необычная деталь: скрытые GIF с супергероями
Отличительная особенность рассылок ComicForm — зашитые в код вложений ссылки на анимированные GIF с супергероями (например, с Бэтменом). По оценке исследователей, эти изображения не задействованы в логике атаки и служат лишь «визуальным шумом» либо элементом брендинга/маскировки.
Кража учетных данных: поддельные страницы «хранилищ документов»
Помимо вредоносных вложений, применялись ссылки на фишинговые сайты, имитирующие сервисы хранения и обмена документами. После перехода пользователь видел форму аутентификации, а введенные учетные данные перенаправлялись на удаленные серверы операторов ComicForm. Такой «двухвекторный» подход — стилер плюс фишинг логинов — повышает шансы на компрометацию корпоративных систем.
Активность и тенденции: расширение инфраструктуры
По данным F6, в июне зафиксированы следы атаки на неназванную казахстанскую телеком-компанию, а в начале сентября злоумышленники начали расширять инфраструктуру. «Группировка ComicForm действует как минимум с апреля 2025 года и активна по настоящее время… в начале сентября мы заметили расширение инфраструктуры», — отмечает Владислав Куган, аналитик департамента Threat Intelligence F6.
Контекст угроз: почему это работает
Стилер FormBook — широко известный инструмент для кражи паролей, cookie, данных автозаполнения и содержимого буфера обмена; он активно продается на подпольных площадках и часто попадает в массовые и целевые кампании. По отчету Verizon DBIR 2024, «человеческий фактор» остается решающим в большинстве инцидентов, а фишинг и использование украденных учетных данных — среди главных способов первоначального проникновения.
Рекомендации по защите и детектированию
Технические меры:
- Запрет на исполнение файлов из архивов (.rar/.zip) и блокировка вложений с двойным расширением (например, pdf.exe).
- Песочницы и эмуляция для вложений, поведенческие EDR/NGAV с детекцией in-memory загрузчиков (.NET reflection, RunPE, шифрование ресурсов).
- Фильтрация и переписывание URL, изоляция браузера при переходе по внешним ссылкам.
- Жесткие политики почты: SPF, DKIM, DMARC с политикой reject/quarantine; проверка параметров Reply-To.
- Многофакторная аутентификация и ограничение привилегий; мониторинг аномалий входа и доступа.
Процессы и осведомленность:
- Обучение сотрудников распознаванию фишинга (особенно «деловых» тем писем) и безопасной работе с вложениями.
- Непрерывное отслеживание индикаторов, связанных с ComicForm (тематики писем, домены .ru/.by/.kz, характерный reply-to) в почтовых логах и SIEM.
- Регулярные учения по фишингу и проверка готовности реагирования (IR playbooks для инцидентов со стилерами).
ComicForm демонстрирует знакомую, но все еще эффективную комбинацию: правдоподобные деловые письма, многоступенчатые загрузчики и проверенный стилер FormBook. Организациям в России, Беларуси и Казахстане стоит актуализировать фильтры почты, усилить валидацию вложений и внедрить EDR с анализом in-memory активностей. Чем быстрее вы обнаружите подозрительную рассылку и заблокируете точки входа, тем меньше шансов, что украденные учетные данные приведут к более глубокому проникновению в инфраструктуру.