Треть веб-угроз попадает в корпоративные сети через архивы
3 мин
51
2
На веб-архивы пришлось 37% случаев доставки угроз в сети компаний в 2025 году. Такие данные опубликовали эксперты Solar webProxy, изучив основные каналы сетевых атак. В течение года этот показатель варьировался от 34 до 42%, однако за этот период архивы ни разу не вышли из тройки наиболее популярных у атакующих методов.
Как пояснили в ГК «Солар», такой выбор обусловлен в первую очередь удобством веб-архивов для атакующих. При получении такого письма пользователь не видит состав вложения, что позволяет злоумышленнику отправить файлы в .lnk, .bat, .vbs, .hta, .exe. В некоторых случаях письмо может содержать сразу несколько загрузчиков, однако получатель принимает их за обычные документы. Темы вроде «договор», «счёт» или «отчёт» не вызывают дополнительных подозрений, а SWG-системы по-прежнему с трудом распознают угрозы внутри такого архива, если он защищён паролем.
Чаще всего злоумышленники используют формат .rar, на которых приходится 24% от общего количества подобных угроз. В тройку лидеров также вошли ,zip и .7z. Пользователь далеко не всегда получает опасный архив через электронную почту. В 22% случаев каналом доставки служит скачивание файлов с поддельных страниц загрузки, через поисковую выдачу, облачные хранилища и файлообменные сервисы. Архивы с вредоносным содержимым успешно минуют системы защиты электронной почты (SEG) в 12% случаев.
SWG-система Solar webProxy зафиксировала десятки тысяч попыток загрузки защищёных контейнеров на внешние ресурсы, скачиваний потенциально опасных архивов, передач файлов от одного сотрудника к другому без соблюдения требований безопасности всего за два месяца текущего года. На файлы с признаками вредоносного ПО, которые пытались скачать через браузер, пришлось 24 тысячи из них.
За последний год веб-архивы с опасным содержимым использовались в большом количестве реальных атак. Так, группировка PhantomCore/HeadMare рассылала вредонос в письмах с темой «ТЗ на согласование». На поддельной странице загрузки Microsoft Teams нашли zip-архив с троянизированным установщиком, который жертва могла скачать прямо из браузера. А в одном из расследованных Solar 4RAYS инцидентов в письме вместо вложения была ссылка на сервис для обмена файлами, где архив с названием «Приложение.7z» можно было скачать только один раз.
Руководитель продукта Solar webProxy ГК «Солар» Анастасия Хвещеник пояснила, что архив в этих случаях являлся лишь одним из элементов цепочки. Так как именно веб-ресурсы остаются основным вектором атак на пользователей, компаниям крайне важно проводить их мониторинг в дополнение к контролю безопасности почтового канала.
