Специалисты «Лаборатории Касперского» зафиксировали новую серию кибератак, которые нацелены на российских исследователей — политологов, экспертов в международных отношениях и экономистов из ведущих российских университетов и научно-исследовательских институтов, сообщили РИА Новости в компании.
В октябре 2025 года команда Kaspersky GReAT выявила очередную волну прицельных атак, связанных с кампанией под названием «Форумный тролль», впервые обнаруженной в марте того же года. На этот раз злоумышленники нацелились на специалистов из области политологии, международных отношений и экономики, представляющих ведущие российские ВУЗы и НИИ. Целью стали ложные уведомления о проверке работ на плагиат, получаемые жертвами, — рассказали представители компании.
Рассылка фишинговых писем шла с адреса support@e-library[.]wiki, который принадлежал сайту, маскировавшемуся под официальный российский портал elibrary.ru. В посланиях содержалась ссылка на якобы отчет, объясняющий причины подозрений в плагиате. При переходе по ссылке открывался ZIP-архив, названный фамилией получателя. В нем располагалась папка с обычными изображениями и ярлык, запускавший вредоносное программное обеспечение. Нажатие на данный ярлык приводило к загрузке и установке зловреда на компьютер пользователя. Этот вредоносный код мог сохранять свою активность даже после перезагрузки устройства, пояснили эксперты.
Одновременно открывался размытый PDF-файл, который имитировал содержимое с информацией о выявленном плагиате.
Отмечается, что конечный компонент вредоносного кода включал в себя легальный коммерческий инструмент для проведения взломов, который обычно применяется компаниями для проверки надежности собственной ИТ-инфраструктуры. Хакеры применяли этот инструмент, чтобы получить удаленный доступ к устройствам пострадавших и продолжать свои действия внутри сети.
«Злоумышленники основательно подготовились к атаке: их серверы управления были размещены в облачной инфраструктуре Fastly, система выдачи сообщений менялась в зависимости от операционной системы жертвы, а повторные загрузки ограничивались для усложнения анализа. На сайте, который имитировал официальный портал электронной библиотеки, выявлены следы его работы с декабря 2024 года. Это говорит о том, что подготовка атаки длилась несколько месяцев. В настоящее время сайт заблокирован», — уточнили в компании.