Silver Fox атакует российские компании через фальшивые письма от налоговой

Когда письмо выглядит как уведомление от налоговой, большинство людей открывает его без колебаний.

Именно на это и рассчитывают злоумышленники.

В начале 2026 года аналитики Лаборатория Касперского выявили новую волну атак кибергруппировки Silver Fox. Целью стали российские компании из промышленности, консалтинга, торговли и транспортной отрасли.

За один месяц было зафиксировано более 1600 вредоносных писем. Каждое из них выглядело как официальное уведомление от налоговой службы.Но за привычной формулировкой скрывалась многоступенчатая атака.

Как работает новая схема атаки

Злоумышленники начали с того, что обновили свою тактику.

Раньше вредоносный код распространялся через архивы. Теперь жертва получает PDF-документ, который выглядит как официальное уведомление.

Внутри файла находится ссылка для скачивания документа. На самом деле эта ссылка запускает цепочку заражения.

Такой подход помогает атакующим обходить почтовые фильтры и снижает вероятность того, что письмо будет заблокировано системой безопасности.

Сценарий выглядит просто:

1. Пользователь получает письмо о «нарушениях» от налоговой службы.
2. Открывает вложенный PDF.
3. Переходит по ссылке для скачивания «документа».
4. На устройство незаметно загружается вредоносное ПО.

После этого атака переходит во вторую фазу.

Новый инструмент злоумышленников: бэкдор ABCDoor

В январской кампании Silver Fox добавила новый компонент вредоносной инфраструктуры — бэкдор ABCDoor, написанный на языке Python.

Он запускается через уже известный вредоносный инструмент ValleyRAT и дает атакующим практически полный контроль над системой.

После заражения злоумышленники могут:

• управлять компьютером удалённо;
• записывать нажатия клавиш;
• скачивать и загружать файлы;
• получать доступ к буферу обмена;
• транслировать сразу несколько экранов пользователя почти в реальном времени;
• обновлять вредоносное ПО для обхода защиты.

Кроме того, для доставки ValleyRAT используется модифицированная версия загрузчика RustSL, ранее неизвестная специалистам.

Почему эта атака особенно опасна

Главное оружие Silver Fox — не только технологии, но и психология.

«Социальная инженерия сыграла ключевую роль в этой кампании. Люди склонны доверять уведомлениям от официальных ведомств. Злоумышленники использовали многоступенчатую схему доставки вредоносного кода и разные домены. Это значительно усложняет обнаружение и блокировку атаки», — отмечает Антон Каргин, эксперт центра исследований угроз Kaspersky GReAT.

Такая архитектура атаки позволяет преступникам скрывать отдельные этапы заражения и минимизировать риск полного блокирования всей инфраструктуры.

Как защитить компанию

По данным Лаборатория Касперского, вредоносные компоненты этой кампании детектируются как несколько типов троянов и бэкдоров. Однако технологии защиты работают эффективнее всего в сочетании с организационными мерами.

Чтобы снизить риск заражения, компаниям рекомендуется:

1. Повышать киберграмотность сотрудников.
Обучение помогает сотрудникам распознавать фишинговые письма и избегать опасных действий. Для этого подойдут специализированные курсы и тренинги, например Kaspersky Automated Security Awareness Platform.

2. Использовать специализированную защиту электронной почты.
Современные решения способны автоматически анализировать вложения, проверять запароленные архивы и блокировать подозрительные письма. Рекомендуется, например, Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus, который использует технологию CDR и другие средства защиты.

3. Подключать источники Threat Intelligence.
Это помогает специалистам по информационной безопасности отслеживать актуальные техники и инструменты злоумышленников. Доступ к таким данным можно получить через сервис Threat Intelligence от Лаборатории Касперского.

4. Строить комплексную систему защиты.
Эффективная безопасность объединяет защиту рабочих станций, мониторинг событий безопасности, обнаружение атак на ранних стадиях и обучение сотрудников. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.

Главный вывод

Большинство современных кибератак начинается не с сложного взлома, а с одного письма, которому доверяют. Поэтому самый сильный элемент защиты сегодня — это комбинация технологий и внимательности людей. Если письмо вызывает даже малейшее сомнение, лучше проверить его дважды. Иногда именно это действие предотвращает компрометацию всей компании.

Хотите узнать больше о решениях Лаборатории Касперского? Обратитесь к нам за профессиональной консультацией.

Свяжитесь с нами сейчас по номеру +7 (495) 984-33-83 или отправьте заявку на нашу почту: shop@spectrasoft.ru и обеспечьте надежную кибербезопасность уже сегодня.