Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Windows

Екатерина Быстрова 19 Января 2026 - 12:41

Домашние пользователи

...

Атакующие продолжают усложнять свою маскировку, мимикрируя теперь и под бренды из мира кибербезопасности. Команда BI.ZONE DFIR рассказала о серии инцидентов, в которых группировка Feral Wolf использовала подмену доменов и имён хостов, маскируя свою активность под легитимные сервисы и привычные для администраторов действия.

По словам специалистов, за последние месяцы им несколько раз попадался один и тот же приём: злоумышленники имитировали названия известных компаний и сервисов, чтобы их инфраструктура не вызывала подозрений при беглом анализе.

В одном из расследованных кейсов атакующие использовали домен формата *.bizone.dev, который визуально очень похож на название BI.ZONE. В другом случае они пошли ещё дальше и переопределили домен *.bi.zone прямо в SSH-конфигурации Windows, подменив его на IP-адрес своей инфраструктуры.

Для этого злоумышленники внесли изменения в файл
C:\Windows\System32\config\systemprofile\.ssh\config, прописав там вредоносный хост. В результате при обращении к «знакомому» имени фактически устанавливалось соединение с сервером атакующих.

Как отмечают эксперты BI.ZONE DFIR, SSH всё чаще используется не только для доступа, но и для туннелирования трафика к инфраструктуре злоумышленников. В данном случае через SSH был создан алиас, который позволял атакующим незаметно поднимать туннели и поддерживать постоянный канал связи.

Чтобы не потерять доступ, атакующие дополнительно создали планировщик задач в Windows с именем, маскирующимся под системную — User_Feed_Synchronization-{GUID}. Такая задача выглядела как стандартный механизм синхронизации RSS-лент и не вызывала подозрений.

На деле же она регулярно запускала ssh.exe, автоматически восстанавливая соединение с инфраструктурой атакующих и обеспечивая им постоянное присутствие в системе.

С точки зрения мониторинга и реагирования такие туннели обнаружить можно. Но проблема в другом: обычные администраторы, разработчики и аналитики могут просто не обратить внимание на «знакомые» домены, имена задач и привычные системные процессы.

Как подчёркивают эксперты, ключевая ставка здесь делается на доверие и визуальное сходство. Если что-то выглядит легитимным — это ещё не значит, что таковым является.

В BI.ZONE также поделились примерами признаков, на которые стоит обратить внимание специалистам по Threat Hunting, в том числе:

запуск ssh.exe в Windows с нетипичными портами,
планировщики задач, вызывающие SSH,
сетевые соединения SSH не на стандартный 22-й порт.

Эксперты советуют оставаться особенно бдительными к SSH-активности на Windows-системах и регулярно проверять конфигурационные файлы, даже если на первый взгляд всё выглядит привычно.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 10 Февраля 2026 - 12:36

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники запустили «валентинку от Дурова» — фейковую акцию Telegram

Компания F6 зафиксировала новый сценарий мошенников, приуроченный ко Дню всех влюблённых. В соцсети TikTok распространяются видео о якобы «секретной валентинке от Павла Дурова», которая обещает пользователям премиум-подписку в Telegram или «звёзды» в подарок партнёру. На деле всё заканчивается попыткой кражи денег и данных банковских карт.

Сценарий обнаружили аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 в преддверии 14 февраля.

Мошенники публикуют в TikTok ролики, где рассказывают о «секретной акции Telegram» ко Дню святого Валентина. В видео утверждается, что специальная «валентинка от Дурова» позволяет получить Premium или передать «звёзды» другому пользователю.

Для получения «подарка» зрителям предлагают перейти по ссылке в профиле. Она ведёт в телеграм-канал, откуда пользователя перенаправляют в бот под названием «Секретная валентинка».

Дальше всё выглядит почти безобидно: бот просит пройти короткий опрос и выполнить несколько условий. Последнее из них — подписаться более чем на 30 телеграм-каналов, ботов и сайтов, якобы выступающих «спонсорами» акции.

Одна из ссылок ведёт на мошеннический сайт, замаскированный под розыгрыш призов известного маркетплейса. Пользователю предлагают «покрутить барабан», и уже через три попытки он «выигрывает» технику общей стоимостью около 200 тыс. рублей.

После выбора пункта выдачи сайт сообщает, что товаров в наличии нет, и предлагает обменять приз на деньги. Для этого пользователя просят ввести номер банковской карты, а затем — оплатить «пошлину» в размере 2030 рублей, переведя деньги по номеру телефона или QR-коду.

На момент обнаружения схемы ссылка на оплату ещё не работала, но, как отмечают специалисты, злоумышленники могут активировать её в любой момент.

Основные риски для жертв — списание средств с банковского счёта, компрометация данных банковской карты и захват телеграм-аккаунта. Кроме того, за счёт обязательных подписок мошенники искусственно наращивают аудиторию своих каналов и ботов, чтобы использовать её в следующих схемах.

По данным F6, только по схеме с фальшивыми свиданиями (Fake Date) мошенники в праздничные дни — 14 февраля, 23 февраля и 8 марта — похитили у россиян почти 10 млн рублей за прошлый год.

«Перед праздниками киберпреступники регулярно обновляют сценарии обмана. Всё чаще для этого используют TikTok, откуда пользователей уводят на другие платформы, где и происходит мошенничество», — отмечает Анастасия Князева, аналитик второй линии CERT департамента Digital Risk Protection компании F6.

Главная рекомендация специалистов проста: если в интернете вам обещают ценный подарок, премиум-доступ или деньги — почти наверняка это мошенничество. Особенно если для «получения подарка» нужно подписаться на десятки каналов, перейти по цепочке ссылок или ввести данные банковской карты.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »