Fortinet FortiGuard Labs сообщила о многоступенчатой фишинговой кампании против российских организаций. Атака начинается с деловых документов на русском языке, замаскированных под бухгалтерскую переписку, и использует легитимные облачные сервисы для доставки компонентов: GitHub для скриптов и Dropbox для бинарных файлов. Это усложняет блокировку по инфраструктуре и делает рассылку более живучей.
Ключевой трюк на входе это ярлыки Windows LNK с двойными расширениями, которые выглядят как обычные файлы. После клика запускается PowerShell, подтягивается следующий этап, открывается документ-ловушка для отвлечения внимания, а затем цепочка добивается прав администратора и начинает выключать защиту. В отчете отдельно отмечается использование инструмента defendnot, который регистрирует в Windows Security Center фальшивый антивирус и заставляет систему отключить Microsoft Defender.
Дальше разворачиваются две основные нагрузки. Первая это Amnesia RAT, троян удаленного доступа, который собирает данные из браузеров и приложений и использует Telegram Bot API как канал управления и передачи данных. Вторая это шифровальщик, связанный с семейством Hakuna Matata, после которого может появляться WinLocker, блокирующий работу с системой.
Параллельно Seqrite Labs описывает другую кампанию, Operation DupeHike, активную с ноября 2025 года. Там приманки построены вокруг документов о годовых премиях и внутренних финансовых правилах, а после клика загружается имплант DUPERUNNER и разворачивается AdaptixC2 для долгосрочного доступа.
Общий вывод у обеих историй неприятно простой: злоумышленникам не нужны редкие уязвимости, им достаточно убедить человека открыть файл и затем злоупотребить штатными возможностями Windows, прежде чем включить финальную нагрузку.
