ForumTroll атакует российских учёных через фейковые письма eLibrary
3 мин
39
Группировка ForumTroll снова нацелилась на российских учёных: политологов, специалистов по международным отношениям и экономистов из ведущих вузов. Как установили специалисты «Лаборатории Касперского», новая кампания стартовала в октябре 2025 года. Если весной хакеры работали по организациям в целом, то к осени они сменили тактику и переключились на таргетированные атаки на конкретных специалистов.
Злоумышленники отправляют потенциальным жертвам фишинговые письма под видом рассылки от научной библиотеки eLibrary с требованием проверить научную работу на плагиат. Атакующие знают, что академическая среда нервно реагирует на тему заимствований. Этот трюк позволяет им повысить эффективность атак, поскольку напуганные специалисты переходят по ссылкам импульсивно, не проверяя URL.
Письма приходят с адреса support@e-library[.]wiki, в то время как легитимный домен — elibrary.ru. Вредоносный домен злоумышленники зарегистрировали ещё в марте 2025 года — за полгода до рассылки. Это позволяет обходить защитные шлюзы, активнее реагирующие на недавно зарегистрированные ресурсы.
Внутри письма находится ссылка на скачивание архива, якобы содержащего отчёт о плагиате. Страница, куда переходит жертва, представляет собой точную копию настоящего портала, а название архива содержит реальные ФИО жертвы.
Кроме того, ссылка на скачивание срабатывает один раз. Это сделано для того, чтобы исследователи не могли скачать и проанализировать файл повторно. Также встроена проверка операционной системы. Если жертва зашла не с Windows, сайт выдаст ошибку.
Внутри архива лежат вредоносный ярлык и скрытая папка с мусором для увеличения веса архива. Запуск ярлыка активирует цепочку заражения. Скрипт скачивает из Сети основной зловредный файл, а пользователю открывает «куклу» — размытый PDF-документ, который якобы и есть тот самый отчёт. Пока жертва всматривается в экран, вредоносное ПО устанавливается на устройство в скрытом режиме.
Для закрепления хакеры используют технику COM Hijacking. Вредоносное ПО подменяет записи в реестре, заставляя Windows запускать себя вместо легитимных компонентов. В качестве основного инструмента взлома используется Tuoni — коммерческий фреймворк с теневых форумов. Он даёт полный удалённый доступ и помогает сливать данные, необходимые злоумышленникам.
Специалисты «Лаборатории Касперского» отмечают, что хакеры совершили технический даунгрейд ради эффективности. Весной ForumTroll использовала в атаке эксплойты нулевого дня в браузерах. Сейчас же злоумышленники перешли на готовые коробочные инструменты и чистую социальную инженерию.
