Внимание: мошенники воруют данные через PDF и даже картинки

Автор: | 27 сентября, 2025 | 126
мошенники воруют данные через PDF и изображения

Эксперты предупреждают: кибермошенники всё чаще маскируют вредоносный код под «реалистичные» PDF-счета и даже изображения. Цель — обойти защиту и получить удалённый доступ к вашему компьютеру.

В новых кампаниях злоумышленники используют набор легитимных инструментов Windows (LOTL), поддельные PDF-интерфейсы и скрытые скрипты («reverse shell») — чтобы закрепиться в системе незаметно для антивирусов.

Как работает атака через «реалистичный» PDF

Жертве приходит письмо с «счётом» или «уведомлением» — файл выглядит как обычный документ Adobe Reader. Внутри спрятан мини-изображение (SVG), которое имитирует прогресс-бар или кнопку просмотра. После клика запускается цепочка команд, устанавливающая вредоносный скрипт с удалённым доступом.

Опасность в картинках: код, скрытый в пикселях

Другой приём — прятать вредоносный код прямо в пикселях изображения и упаковывать его в файлы помощи Microsoft CHM. Так злоумышленники маскируют загрузку трояна и стирают следы. Если вы работаете с графикой, полезно знать способы проверки — см. нашу заметку о том, как проверять картинки на уникальность.

Кого целят и почему это срабатывает

  • Бизнес-пользователей — счета и накладные вызывают доверие.
  • Пользователей Windows — из-за зависимости атак от PowerShell, CMD и других системных компонентов (LOTL).
  • Региональные таргеты — письма ограничивают по языку/гео, чтобы усложнить автоматический анализ.

Признаки, что письмо опасно

  • PDF просит «включить просмотр», «подтвердить безопасность» или установить «модуль для чтения».
  • Ссылка ведёт на облачный хостинг/шаринг с необычным доменом.
  • Требуют срочной оплаты/подтверждения с угрозой блокировки.

Как защититься: короткий чек-лист

  1. Отключите автозапуск скриптов и ограничьте PowerShell для обычных пользователей.
  2. Открывайте вложения в «песочнице» или в изолированном просмотрщике.
  3. Проверяйте изображения на нетипичное содержимое и происхождение.
  4. Обновляйте почтовую защиту и фильтры. Подбор сервисов и практики — в разделе о средствах защиты электронной почты.
  5. Если данные уже утекли — подайте запросы на удаление из поиска и меняйте пароли. Базовые шаги описаны в нашем материале о том, как ускорить удаление личной информации из результатов Google.

Что говорят эксперты

По данным HP Wolf Security, во втором квартале 2025 года злоумышленники совершенствуют визуальные приманки (поддельные PDF-интерфейсы) и прячут код в изображениях, комбинируя это с «живущими за счёт системы» инструментами (LOTL). Подробности — в официальном пресс-релизе HP и в сводке Threat Insights за сентябрь 2025.

Вывод

PDF и изображения больше не равны «безопасно по умолчанию». Относитесь к любым вложениям как к потенциальной угрозе, особенно если письмо давит на срочность. Используйте изоляцию при открытии, обновляйте фильтры и обучайте сотрудников распознавать приманки.

Post Views: 126

Читайте также:

  1. Google разъяснил: alt текст для SEO не является главным фактором ранжирования

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *