Перейти к основному контенту
LiMP VPN
Все новости

Фишинг под «договор поставки» крадёт пароли, июль 2026

Фишинг под «договор поставки» крадёт пароли, июль 2026

Коротко: В начале июля 2026 года специалисты Angara MTDR описали новую волну фишинга по российским организациям. Жертве приходит письмо, замаскированное под рабочую переписку, с зашифрованным архивом-«договором поставки». Открытие вложения тихо ставит легитимную программу удалённого доступа AnyDesk, настраивает постоянный доступ и крадёт пароли, сохранённые в браузере и почтовом клиенте. Главная защита — не доверять неожиданным архивам-«договорам», не хранить важные пароли в браузере и включить двухфакторную аутентификацию.

Что произошло

8 июля 2026 года команда мониторинга Angara MTDR опубликовала разбор новой кампании группировки, которую отслеживают как Rare Werewolf (также Rezet, Librarian Ghouls, Librarian Likho); она атакует организации в России, Беларуси и Казахстане как минимум с 2019 года. Приманка — фишинговое письмо, оформленное как ответ внутри уже идущей деловой переписки: якобы договор поставки, который нужно посмотреть в финальной редакции. Вредоносное сообщение в изученном образце было отправлено 1 июля 2026 года в 3 часа ночи по Москве с бесплатного ящика от имени реального сотрудника. Кража учётных данных почти всегда начинается с одного неосторожного клика, поэтому сперва стоит освежить базу в нашем разборе как защитить аккаунт от взлома.

Это не единичный случай. В отдельном отчёте за июль 2026 года «Лаборатория Касперского» описала параллельную волну: злоумышленники выдают себя за иностранных покупателей, пишут по-английски с вопросами о товарах и ценах, а затем присылают ссылку на страницу, маскирующуюся под облачный сервис для работы с PDF, которая ворует корпоративные почтовые логины. Две разные группы — одна цель: ваши сохранённые пароли.

Как устроена атака

Письмо Rare Werewolf несёт зашифрованный RAR-архив с именем настоящего документа — например, «договор поставки» с номером дела. Внутри два файла; один из них исполняемый, замаскированный безобидным на вид расширением. Запуск разворачивает в фоне многоступенчатый загрузчик, устанавливает AnyDesk и настраивает его на тихий постоянный удалённый доступ к машине.

Дальше вредонос вытаскивает пароли, сохранённые в браузерах и почтовых клиентах, и отправляет их через собственный почтовый сервер злоумышленников. Чтобы оставаться незаметным, он имитирует экран антивируса «всё чисто», ссылается на поддельную цифровую подпись, ослабляет встроенную защиту Windows и стирает следы своей активности. Жертва уверена, что просто открыла договор.

Чем это опасно для ваших данных

Главная добыча здесь — ваши сохранённые учётные данные. Пароли, хранящиеся в браузере или почтовом клиенте, считываются за секунды и используются для входа в банк, почту, корпоративные порталы и соцсети — или перепродаются. Постоянный доступ через AnyDesk означает, что злоумышленник может вернуться, наблюдать за экраном и дотянуться до внутренних систем. Если подозреваете, что какой-то ваш аккаунт уже засветился, пройдите проверки из нашего гайда как проверить утечку персональных данных и сразу смените затронутые пароли.

Как защититься?

Считайте неожиданные архивы-«договоры» враждебными. Защищённый паролем RAR с файлом .exe или .com внутри, пришедший без предупреждения, — классический приём доставки вредоноса. Прежде чем что-то открывать, свяжитесь с отправителем по известному вам каналу и уточните.

Перестаньте хранить важные пароли в браузере. Именно сохранённые в браузере логины и забирает этот вредонос. Используйте отдельный менеджер паролей с мастер-паролем и включите двухфакторную аутентификацию, чтобы одного украденного пароля было недостаточно.

Следите за незваными программами удалённого доступа. Если появились AnyDesk, TeamViewer или похожее ПО, которое вы не устанавливали, считайте устройство скомпрометированным, отключите его от сети и меняйте пароли с чистой машины.

Обновляйте ОС, антивирус и фильтрацию почты и с недоверием относитесь к любому сообщению — даже похожему на продолжение диалога, — которое подталкивает открыть файл или ввести пароль. Чтобы понять, где VPN помогает, а где нет, посмотрите разбор от чего защищает VPN, а от чего нет.

Причём здесь VPN?

Будем честны о границах: VPN не остановит фишинговое письмо и не удалит вредонос, который пользователь уже запустил, — это задача бдительности, менеджера паролей и защиты конечных устройств. Что VPN действительно закрывает — сетевой уровень: он шифрует трафик в недоверенных Wi-Fi, чтобы логины и одноразовые коды нельзя было перехватить по пути, и скрывает реальный IP, сокращая данные, по которым вас можно профилировать. Как устроено шифрование у LiMP VPN, смотрите в описании возможностей, а тариф выбирайте на странице цен. Относитесь к VPN как к одному из слоёв защиты, а не как к лекарству от фишинга.

Источники

Материал основан на разборе Angara MTDR, освещённом изданиями CNews и Anti-Malware.ru, а также на параллельном отчёте «Лаборатории Касперского» за июль 2026 года, освещённом Anti-Malware.ru.

Фишинг под «договор поставки» крадёт пароли, июль 2026 | LiMP VPN