Нажали F12 и увидели пустоту? Поздравляем, хакеры уже раскусили вас и стёрли все улики
NewsMakerПопытка вскрыть замок превратила дверь в глухую стену.
Группировка SilverFox усилила активность и изменила тактику атак, сделав упор на массовое распространение вредоносного ПО под видом популярных программ. Команда Knownsec 404 описала новые приёмы , которые позволяют злоумышленникам обходить проверку кода, маскировать инфраструктуру и масштабировать кампании против организаций.
SilverFox нацеливается прежде всего на сотрудников управленческого и финансового звена. Основные каналы доставки остаются прежними — мессенджеры WeChat и QQ, фишинговые письма и поддельные сайты с «инструментами». После утечки исходников Gh0st набор инструментов разросся и стал доступен разным участникам подпольного рынка, что резко увеличило масштаб атак.
Одно из ключевых изменений — поведение фишинговых страниц . Вредоносные сайты активно мешают анализу: отключают правый клик, блокируют комбинации клавиш для открытия инструментов разработчика и отслеживают попытки их запуска через изменение размеров окна. При обнаружении анализа страница либо очищается, либо перенаправляет пользователя. Такой подход рассчитан на специалистов, которые обычно проверяют код перед запуском файлов.
Параллельно злоумышленники давят на поведение обычных пользователей. Любое нажатие на странице — даже на кнопки «Главная» или «Контакты» — запускает загрузку вредоносного файла. Подобная «универсальная» схема ломает привычную логику интерфейса и повышает вероятность заражения, хотя автоматического запуска файлов не происходит.
Группировка SilverFox усилила активность и изменила тактику атак, сделав упор на массовое распространение вредоносного ПО под видом популярных программ. Команда Knownsec 404 описала новые приёмы , которые позволяют злоумышленникам обходить проверку кода, маскировать инфраструктуру и масштабировать кампании против организаций.
SilverFox нацеливается прежде всего на сотрудников управленческого и финансового звена. Основные каналы доставки остаются прежними — мессенджеры WeChat и QQ, фишинговые письма и поддельные сайты с «инструментами». После утечки исходников Gh0st набор инструментов разросся и стал доступен разным участникам подпольного рынка, что резко увеличило масштаб атак.
Одно из ключевых изменений — поведение фишинговых страниц . Вредоносные сайты активно мешают анализу: отключают правый клик, блокируют комбинации клавиш для открытия инструментов разработчика и отслеживают попытки их запуска через изменение размеров окна. При обнаружении анализа страница либо очищается, либо перенаправляет пользователя. Такой подход рассчитан на специалистов, которые обычно проверяют код перед запуском файлов.
Параллельно злоумышленники давят на поведение обычных пользователей. Любое нажатие на странице — даже на кнопки «Главная» или «Контакты» — запускает загрузку вредоносного файла. Подобная «универсальная» схема ломает привычную логику интерфейса и повышает вероятность заражения, хотя автоматического запуска файлов не происходит.