ClickOnce атаковала посольства стран Южной Азии

ClickOnce атаковала посольства стран Южной Азии

Недавно группа киберпреступников, известная как SideWinder, развернула сложную кампанию против европейских посольств и ряда учреждений в странах Южной Азии, используя инновационную технику распространения угроз посредством файлов формата PDF и технологии ClickOnce. Это событие произошло осенью 2025 года.

Исследователи киберугроз из компании Trellix сообщили, что атака стала примером эволюции инструментов, используемых преступниками. Новая методика заключается в применении специально подготовленных документов, замаскированных под обычные PDF и Word-файлы, содержащих скрытые инструкции для автоматической установки вредоносного программного обеспечения. Эти атаки начались ещё весной и продолжались вплоть до осени текущего года.

Как работает схема?

Злоумышленники рассылают своим потенциальным жертвам электронные письма, содержащие прикрепленные документы, якобы представляющие важные правительственные уведомления или внутренние доклады. Среди обнаруженных примеров файлов были названия типа «Совещание межведомственных структур.pdf» и «Анализ конфликта Индия-Пакистан май 2025 г..docx». Такие послания исходят с адреса электронной почты, похожего на официальное ведомство, что создаёт иллюзию доверия среди пользователей.

При открытии вложенного файла возникает сообщение о невозможности отображения содержимого и рекомендация обновить программу чтения PDF или Word. Пользователь видит предложение скачать и установить обновлённую версию Adobe Reader, следуя инструкциям в окне программы. Однако это является лишь уловкой: скачанное приложение оказывается инструментом ClickOnce, который скрытно устанавливает вредоносную библиотеку DLL («DEVOBJ.dll») на компьютер жертвы.

Программа ClickOnce сама по себе является законным приложением от компании MagTek Inc., однако в данном случае её использовали для сокрытия своего истинного назначения. После запуска система незаметно открывает фальшивый PDF-документ, отвлекая внимание пользователя, пока выполняется настоящая операция по внедрению угрозы.

Установленный модуль (.DLL) немедленно активирует вредоносный компонент, известный как ModuleInstaller, предназначенный для дальнейшего шифрования и исполнения второй части инфекции — StealerBot. Этот инструмент позволяет похищать чувствительные данные, отслеживать клавиатурные нажатия, записывать экран и получать доступ к файлам на компьютере жертвы.

StealerBot и ModuleInstaller впервые появились в публичном доступе благодаря исследованию лаборатории «Касперский» в конце 2024 года. Позже, в первой половине 2025-го, эксперты из Acronis обнаружили подобные схемы нападения на госучреждения стран региона.

Таким образом, кампания, проведённая в течение последнего полугодия, демонстрирует растущую техническую компетентность группы SideWinder и усложнённые подходы к проведению шпионских операций.

«Использование множества волн рассылки и многократное применение специализированных зловредов, таких как ModuleInstaller и StealerBot, показывают глубокое понимание преступников геополитической обстановки региона и готовность совершенствовать методы проникновения в сети государственных учреждений», — комментируют специалисты Trellix.

Эти события подчеркивают необходимость постоянного повышения осведомленности сотрудников дипломатических миссий и иных ведомств о современных рисках информационной безопасности и развития мер противодействия подобным угрозам.