Мир кибербезопасности снова сталкивается с новыми вызовами в виде активности группировок хакеров. Одной из таких угроз стала группа ComicForm, которая в 2025 году проявила заметную активность, распространяя опасное вредоносное ПО по корпоративным сетям России, Беларуси и Казахстана. Особое внимание привлекает использование ими нетипичных элементов - анимированных GIF с героями комиксов, что выделяет эту кампанию на фоне стандартных атак и позволяет по-новому взглянуть на методы социальной инженерии и маскировки вредоносного кода. Основным инструментом в арсенале ComicForm стал стилер FormBook, известный своими функциональными возможностями для кражи учетных данных и конфиденциальной информации. Помимо кражи паролей, этот вредоносный код способен внедряться в процессы, обходить средства защиты и сохранять постоянное присутствие в системе.
Распространение FormBook осуществлялось через тщательно замаскированные фишинговые письма, которые приходили с адресов, зарегистрированных в доменных зонах .ru, .by и .kz, что помогало злоумышленникам повышать доверие адресатов и увеличивало вероятность открытия вложений. Письма, как правило, содержали темы, которые казались вполне легитимными и относились к официальной деловой переписке: "RE: Акт сверки", "Контракт и счет.
pdf", "Ожидание подписанного документа" или "Подтвердить пароль". Такие формулировки отталкивали от идеи сомневаться и побуждали пользователя без лишних раздумий открыть вложение. Под вложением обычно скрывался архив в формате rar, который содержал исполняемый файл с расширением exe, оформленный так, чтобы masquerade под PDF. Это классический ход социальной инженерии - жертва ожидает документ, но запускает программу. Программная составляющая была тщательно продумана и многоступенчата.
Первый исполняемый файл выступал в роли обфусцированного загрузчика, написанного на .NET, что усложняло анализ и идентификацию вредоносного кода специалистами. Загрузчик распаковывал и загружал в память второй этап - DLL-модуль MechMatrix Pro.dll, который извлекал из ресурсов того же файла следующий модуль Montero.dll.
Последний выступал в роли дроппера, ответственного за разворачивание и запуск стилера FormBook. Такой сложный механизм позволял запутать антивирусные системы и продлить время нахождения вредоносной программы в системе. При запуске дроппер имитировал поведение легитимных процессов: копировал себя в системную папку AppData, регистрировался в системном планировщике задач для перманентного запуска, проверял наличие администратора и при необходимости вносил себя в исключения Windows Defender. Этот уровень ухищрений давал фильтрам безопасности меньше шансов обнаружить и нейтрализовать угрозу. Помимо технической части, особого интереса заслуживает использование ComicForm анимированных изображений с героями комиксов, среди которых можно встретить Бэтмана и других популярных персонажей.
Вредоносные программы содержали скрытые ссылки на GIF-файлы, которые не имели прямого отношения к процессу заражения, но служили своеобразным "фирменным знаком" группировки. Возможно, подобный креатив помогал мошенникам облегчить задачу обхода фильтров либо создавать уникальные отпечатки для распознавания своей продукции в дикой природе хакерского трафика. Важным аспектом атаки стала и инфраструктура группы. С помощью компрометации почтовых ящиков и регистрации новых адресов на доменах России, Беларуси и Казахстана злоумышленники эффективно нацеливались на компании в областях финансов, туризма, биотехнологий, научных исследований и торговли - сферах, где сутки промедления могут стать критическими. Интересен также тот факт, что некоторые письма содержали английский язык, что позволило группе расширить географию своих жертв и повлиять на зарубежные организации.
Использование фишинговых страниц для подделки сервисов хранения документов дополняло общую тактику. Переход по ссылкам в письмах приводил пользователя на внешние формы авторизации, где ввод данных незаметно попадал прямо к злоумышленникам. Такая практика не только увеличивала количество украденных учетных данных, но и давала возможность проводить дальнейшие атаки на более широкий круг целей. Минимальная датировка активности ComicForm указывает на начало операций в апреле 2025 года, но рост активностей и расширение инфраструктуры продолжаются. По словам экспертов, в июне были зафиксированы попытки атаковать крупную телекоммуникационную компанию из Казахстана, что свидетельствует о целенаправленности и масштабности кампании.
Рост и развитие инфраструктуры подтверждает стремление группы закрепиться и повысить эффективность своих операций. Рекомендации по защите от атак ComicForm стандартны, но крайне актуальны. Это, прежде всего, повышение осведомленности сотрудников о рисках открытия неизвестных вложений, внедрение многофакторной аутентификации, регулярное обновление антивирусных решений и системного программного обеспечения, а также мониторинг подозрительной активности в сети. Особое внимание стоит уделять анализу входящей корреспонденции, особенно если она содержит архивы или исполняемые файлы, и проверке всех ссылок перед переходом. Активность ComicForm демонстрирует, что современные киберпреступники не ограничиваются механистичными подходами - добавление в код вредоносных программ визуальных элементов из культуры комиксов подчеркивает развитие социальной инженерии и творческий подход к сокрытию следов.
Это сигнал экспертам, что борьба с хакерами требует не только технических средств, но и понимания психологического компонента угроз. Таким образом, история ComicForm вновь напоминает о сложности и многоуровневости борьбы с киберпреступностью. Государственные, корпоративные и частные структуры должны объединять усилия для эффективного выявления, противодействия и нейтрализации угроз такого рода. В условиях быстро меняющегося ландшафта киберугроз важно оставаться бдительными и постоянно совершенствовать как программные, так и организационные меры безопасности. .
