Цільова кампанія ComicForm, активна з весни 2025 року й досі, спрямована проти компаній у Росії, Білорусі та Казахстані. За спостереженнями F6, зловмисники поєднують дві техніки початкового доступу — розсилку шкідливих вкладень і перенаправлення жертв на підроблені сторінки «хмарних сховищ» для збору логінів і паролів. Кінцева мета — крадіжка облікових даних та даних браузера за допомогою стилера FormBook.
Цілі та географія: бізнес-вертикалі під ударом у RU, BY та KZ
У фокусі — фінансові організації, туризм, біотехнології, наукові інституції та торгові компанії. Розсилки ведуться з доменів верхнього рівня .ru, .by і .kz, частина поштових скриньок, імовірно, скомпрометована. Характерний технічний індикатор — Reply-To: rivet_kz@…, зареєстрований на безплатному російському поштовому сервісі. Фіксуються також листи англійською, що вказує на потенційне розширення за межі СНД.
Фішингові приманки: «Акт звірки», «Контракт і рахунок» та інші ділові сюжети
Листи імітують типовий бізнес-обмін: «RE: Акт звірки», «Контракт і рахунок.pdf», «Очікування підписаного документа», «Підтвердити пароль». Поширений сценарій — архіви .rar/.zip із вкладеннями виду «Акт_звiрки pdf 010.exe», замаскованими під документи. Запуск EXE із архіву — тригер інфікування робочої станції.
Ланцюжок зараження: .NET-завантажувач → MechMatrix Pro.dll → Montero.dll → FormBook
Первинний EXE — обфускований .NET-завантажувач, що розпаковує модуль другої стадії MechMatrix Pro.dll. Далі завантажується в пам’ять дроппер Montero.dll, який доставляє основну корисну навантаження — стилер FormBook. Така багатоступенева схема ускладнює детектування, бо більшість активностей виконується in-memory, без створення артефактів на диску й зі шифруванням ресурсів.
Неординарна ознака: GIF із супергероями в коді вкладень
У шкідливих вкладеннях виявлено посилання на анімовані GIF із супергероями (зокрема з Бетменом). За оцінкою дослідників, ці зображення не беруть участі в логіці зараження і виконують роль «візуального шуму» або елементу маскування/брендингу.
Фішингові сторінки для крадіжки логінів
Паралельно з вкладеннями застосовуються підроблені сторінки сервісів обміну документами. Жертва бачить форму автентифікації, а введені облікові дані відправляються на сервери операторів ComicForm. Такий двовекторний підхід (стилер + фішинг логінів) підвищує ймовірність компрометації корпоративних акаунтів і подальшого розвитку атаки.
Активність і тенденції інфраструктури ComicForm
У червні зафіксовано сліди атаки на неназвану телеком-компанію в Казахстані. На початку вересня нападники розширили інфраструктуру — оновили домени, поштові маршрути та хостинг. За даними F6, ComicForm діє щонайменше з квітня 2025 року й залишається активною.
Контекст загрози: чому кампанія ефективна
FormBook — популярний стилер із «підпілля», що викрадає паролі, cookie, автозаповнення та вміст буфера обміну, а також підтримує кейлогінг. За галузевими звітами, значна частка інцидентів пов’язана з людським фактором, а фішинг і використання вкрадених облікових даних стабільно входять до провідних методів початкового доступу. Імітація ділової кореспонденції та багатоступеневі in-memory завантажувачі дозволяють нападникам обминати базові засоби захисту.
Як виявити та зупинити ComicForm: технічні та процесні кроки
Технічні заходи:
- Блокування виконання файлів із архівів і вкладень із подвійним розширенням (наприклад, pdf.exe), контроль політик запуску.
- Пісочниці та поведінкові EDR/NGAV із правилами на .NET reflection, RunPE, in-memory DLL і шифровані ресурси.
- Фільтрація та переписування URL, ізоляція браузера для зовнішніх посилань.
- SPF, DKIM, DMARC із політикою reject/quarantine; моніторинг полів Reply-To та аномальних маршрутів пошти.
- МФА, обмеження привілеїв, моніторинг аномалій входу (географія, час, пристрої), швидке відкликання токенів і сесій.
Процеси та обізнаність:
- Тренінги з розпізнавання «ділового» фішингу та безпечної роботи з вкладеннями.
- Постійний пошук індикаторів ComicForm у поштових логах і SIEM: теми листів, домени .ru/.by/.kz, характерний reply-to.
- Регулярні фішинг-симуляції та перевірка готовності IR-планів до інцидентів зі стилерами.
Організаціям у регіоні варто терміново посилити фільтри пошти, валідацію вкладень і розгортання EDR з акцентом на in-memory активності. Чим швидше ви виявите підозрілу розсилку, заблокуєте точки входу та примусово зміните скомпрометовані паролі з увімкненням МФА, тим меншим буде ризик подальшого проникнення та ескалації привілеїв. Перегляньте політики, перевірте журнали на індикатори ComicForm і проведіть цільовий тренінг — ці дії підвищують шанси зупинити атаку на ранній стадії.
