ComicForm: нова хвиля цільових фішингових атак із доставкою стилера FormBook

CyberSecureFox 🦊

Цільова кампанія ComicForm, активна з весни 2025 року й досі, спрямована проти компаній у Росії, Білорусі та Казахстані. За спостереженнями F6, зловмисники поєднують дві техніки початкового доступу — розсилку шкідливих вкладень і перенаправлення жертв на підроблені сторінки «хмарних сховищ» для збору логінів і паролів. Кінцева мета — крадіжка облікових даних та даних браузера за допомогою стилера FormBook.

Цілі та географія: бізнес-вертикалі під ударом у RU, BY та KZ

У фокусі — фінансові організації, туризм, біотехнології, наукові інституції та торгові компанії. Розсилки ведуться з доменів верхнього рівня .ru, .by і .kz, частина поштових скриньок, імовірно, скомпрометована. Характерний технічний індикатор — Reply-To: rivet_kz@…, зареєстрований на безплатному російському поштовому сервісі. Фіксуються також листи англійською, що вказує на потенційне розширення за межі СНД.

Фішингові приманки: «Акт звірки», «Контракт і рахунок» та інші ділові сюжети

Листи імітують типовий бізнес-обмін: «RE: Акт звірки», «Контракт і рахунок.pdf», «Очікування підписаного документа», «Підтвердити пароль». Поширений сценарій — архіви .rar/.zip із вкладеннями виду «Акт_звiрки pdf 010.exe», замаскованими під документи. Запуск EXE із архіву — тригер інфікування робочої станції.

Ланцюжок зараження: .NET-завантажувач → MechMatrix Pro.dll → Montero.dll → FormBook

Первинний EXE — обфускований .NET-завантажувач, що розпаковує модуль другої стадії MechMatrix Pro.dll. Далі завантажується в пам’ять дроппер Montero.dll, який доставляє основну корисну навантаження — стилер FormBook. Така багатоступенева схема ускладнює детектування, бо більшість активностей виконується in-memory, без створення артефактів на диску й зі шифруванням ресурсів.

Неординарна ознака: GIF із супергероями в коді вкладень

У шкідливих вкладеннях виявлено посилання на анімовані GIF із супергероями (зокрема з Бетменом). За оцінкою дослідників, ці зображення не беруть участі в логіці зараження і виконують роль «візуального шуму» або елементу маскування/брендингу.

Фішингові сторінки для крадіжки логінів

Паралельно з вкладеннями застосовуються підроблені сторінки сервісів обміну документами. Жертва бачить форму автентифікації, а введені облікові дані відправляються на сервери операторів ComicForm. Такий двовекторний підхід (стилер + фішинг логінів) підвищує ймовірність компрометації корпоративних акаунтів і подальшого розвитку атаки.

Активність і тенденції інфраструктури ComicForm

У червні зафіксовано сліди атаки на неназвану телеком-компанію в Казахстані. На початку вересня нападники розширили інфраструктуру — оновили домени, поштові маршрути та хостинг. За даними F6, ComicForm діє щонайменше з квітня 2025 року й залишається активною.

Контекст загрози: чому кампанія ефективна

FormBook — популярний стилер із «підпілля», що викрадає паролі, cookie, автозаповнення та вміст буфера обміну, а також підтримує кейлогінг. За галузевими звітами, значна частка інцидентів пов’язана з людським фактором, а фішинг і використання вкрадених облікових даних стабільно входять до провідних методів початкового доступу. Імітація ділової кореспонденції та багатоступеневі in-memory завантажувачі дозволяють нападникам обминати базові засоби захисту.

Як виявити та зупинити ComicForm: технічні та процесні кроки

Технічні заходи:

  • Блокування виконання файлів із архівів і вкладень із подвійним розширенням (наприклад, pdf.exe), контроль політик запуску.
  • Пісочниці та поведінкові EDR/NGAV із правилами на .NET reflection, RunPE, in-memory DLL і шифровані ресурси.
  • Фільтрація та переписування URL, ізоляція браузера для зовнішніх посилань.
  • SPF, DKIM, DMARC із політикою reject/quarantine; моніторинг полів Reply-To та аномальних маршрутів пошти.
  • МФА, обмеження привілеїв, моніторинг аномалій входу (географія, час, пристрої), швидке відкликання токенів і сесій.

Процеси та обізнаність:

  • Тренінги з розпізнавання «ділового» фішингу та безпечної роботи з вкладеннями.
  • Постійний пошук індикаторів ComicForm у поштових логах і SIEM: теми листів, домени .ru/.by/.kz, характерний reply-to.
  • Регулярні фішинг-симуляції та перевірка готовності IR-планів до інцидентів зі стилерами.

Організаціям у регіоні варто терміново посилити фільтри пошти, валідацію вкладень і розгортання EDR з акцентом на in-memory активності. Чим швидше ви виявите підозрілу розсилку, заблокуєте точки входу та примусово зміните скомпрометовані паролі з увімкненням МФА, тим меншим буде ризик подальшого проникнення та ескалації привілеїв. Перегляньте політики, перевірте журнали на індикатори ComicForm і проведіть цільовий тренінг — ці дії підвищують шанси зупинити атаку на ранній стадії.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.