ComicForm, начало: аналитики F6 изучили фишинговые кампании новой киберпреступной группы

Компания F6, разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой...

Компания F6, разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом. Об этом CNews сообщили представители F6.

Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае-июне 2025 г. и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.

Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя ComicForm.

Для фишинговых рассылок ComicForm используют адреса электронной почты, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Часть отправителей могла быть скомпрометирована. Характерным признаком группы стало использование в качестве обратного адреса (replay-to) ящика rivet_kz@..., зарегистрированного в бесплатном российском почтовом сервисе.

Помимо вредоносных вложений, злоумышленники используют также поддельные страницы сервисов для хранения документов. После перехода по предложенной в письме ссылке жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников.

Группа ComicForm ведет активную деятельность не только против компаний в России, но также Белоруссии и Казахстана. Использование английского языка в некоторых фишинговых письмах предполагает возможные угрозы для зарубежных компаний. Так, в июне 2025 г. были зафиксированы следы атаки на казахстанскую телекоммуникационную компанию.

«Группировка ComicForm действует минимум с апреля 2025 г. и активна по настоящее время. В начале сентября мы заметили, что злоумышленники расширяют свою инфраструктуру. Подобные угрозы остаются актуальны для компаний из всех сфер экономики, несмотря на повышение осведомленности и развитие инструментов защиты», — сказал Владислав Куган, аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.

Рекомендации F6 для предотвращения и защиты от возможных кибератак со стороны группировки ComicForm или атак групп со схожими техниками

Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.

Используйте передовые решения для защиты электронной почты с целью предотвращения вредоносных рассылок.

Применяйте данные киберразведки для проактивного поиска и обнаружения угроз. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.

Внедряйте современные средства для обнаружения и реагирования на киберугрозы.

Адрес новости:
https://safe.cnews.ru/news/line/2025-09-17_comicformnachalo_analitiki_f6