Архивы остаются одним из самых популярных способов доставки зловреда в корпоративные сети. По данным ГК «Солар», в 2025 году на них пришлось около 37% всех киберугроз. Причина проста: архив является удобной упаковкой для атаки.
Внутри могут скрываться LNK, BAT, VBS, EXE и целые цепочки загрузчиков, а снаружи всё выглядит как обычный «договор» или «счёт». Пользователь скачивает файл и сам запускает атаку.
Дополнительная проблема — защита. Если архив запаролен или вложен в другой контейнер, проверить его содержимое стандартными средствами бывает сложно. Этим злоумышленники активно пользуются.
По статистике, чаще всего для атак используют форматы RAR, ZIP и 7Z. На RAR приходится около 24% всех архивных угроз. Также всё чаще встречаются TAR и образы дисков вроде ISO, их используют в более сложных сценариях.
Интересно, что значительная часть таких файлов попадает к пользователям не через почту, а напрямую через браузер. Люди скачивают их с поддельных сайтов, из поисковой выдачи или облачных сервисов. По оценкам «Солара», до 22% вредоносных загрузок приходятся именно на веб-канал.
При этом даже почтовая защита не всегда спасает: около 12% опасных вложений всё равно доходят до пользователей.
В 2026 году ситуация не изменилась. Только за два месяца системы Solar webProxy зафиксировали десятки тысяч попыток передачи архивов с подозрительным содержимым. Около 24 тыс. из них — это попытки скачать через браузер вредоносные файлы.
Атаки становятся всё более многоступенчатыми. Например, пользователю могут прислать архив с «ТЗ», внутри которого скрыт зловред, загружающий скрипты с легитимных сайтов. Или подсунуть поддельную страницу загрузки популярного софта, где вместо программы лежит архив с троянизированным установщиком.
Иногда используются сразу несколько каналов: почта, ссылки на GitHub, одноразовые файлообменники. Причём сами архивы тоже эволюционируют — вместо очевидных EXE всё чаще используют BAT, VBS или LNK-файлы, замаскированные под документы.
