Казалось бы, время наивных писем с прикреплённым .exe давно прошло. Но на самом деле вложения в письмах до сих пор остаются любимым инструментом злоумышленников. Меняются лишь форматы и подходы. PDF-файлы, ISO-образы и даже привычные Windows-ярлыки (.lnk) стали оружием в руках киберпреступников. Почему? Всё просто: вложения открывают путь напрямую на ваш компьютер, часто — мимо стандартных средств защиты.
Если задуматься, любой файл, пришедший по почте, несёт потенциальную угрозу. Почта — идеальный канал доставки: пользователь сам скачивает, сам открывает, сам запускает ловушку. Поэтому неудивительно, что чуть ли не каждый резонансный инцидент последних лет начинается со слова «фишинг» и заканчивается словом «вложение».
Давайте разберёмся, как это работает на практике, и почему даже опытные специалисты попадаются на такие ловушки.
PDF-файлы: тихий убийца под видом счёта
PDF-файл — вещь в быту абсолютно обыденная. Счета, квитанции, официальные документы — всё приходит в этом формате. И вот тут начинается веселье: внутри PDF может прятаться далеко не только текст или картинка.
- Скрипты JavaScript. В PDF поддерживаются сценарии JavaScript, которые могут срабатывать при открытии, например, для автозапуска вредоносного кода или скачивания дополнительного файла.
- Эксплойты уязвимостей рендеров. Специально сконструированные PDF-файлы могут использовать ошибки в Adobe Reader или других просмотрщиках для запуска произвольного кода — например, под видом вставленной картинки или ссылки.
- Встраиваемые объекты и ссылки. PDF поддерживает вложения файлов, а также переходы по ссылкам. Пример: внутри PDF прячется архив или вредоносный исполняемый файл, который открывается по клику.
Пример из жизни: в одной из известных атак злоумышленники рассылали «накладные» в PDF, внутри которых был вложенный .exe. Открываешь — а внутри кнопка «Скачать счёт». Жмёшь — и на компьютер прилетает троян.
Почему антивирус не срабатывает? Во-первых, сам PDF не обязан содержать вирус в явном виде — только скрипты или объекты. Во-вторых, уязвимости рендеров (CVE-2018-4990, CVE-2021-21017 и др.) позволяют обойти даже современные защиты.
ISO-файлы: настоящие цифровые матрёшки
ISO — это образ диска, который можно смонтировать в системе как виртуальный CD или флешку. Удобно для распространения ПО и драйверов, но киберпреступники нашли способ использовать ISO и как упаковку для вредоносных файлов.
- Обход блокировки макросов. ISO-файл может содержать не только документы, но и ярлыки, скрипты, исполняемые файлы. Чаще всего — LNK-ярлык, ведущий на вредоносный скрипт или .exe. После монтирования Windows не предупреждает пользователя о внешнем происхождении файла.
- Упаковка сложных вложений. ISO-образ позволяет запихнуть несколько файлов в одну оболочку, включая маскировку под документы, PDF и даже архивы. Всё, что душе угодно — ведь открытие ISO не вызывает подозрений, а внутри можно спрятать что угодно.
- Автоматизация запуска. Через автозапуск, сценарии или простое социальное инженерство пользователь убеждается дважды кликнуть «документ» — а открывает троян.
Типовой пример: жертва получает письмо с вложением вида «Документы_заказа.iso». Монтирует его — видит «Бланк заказа.lnk» и пару PDF. Открывает «бланк» — запускает цепочку PowerShell-скриптов, которые скачивают и запускают вредонос.
Популярность ISO среди атакующих резко выросла после того, как Microsoft по умолчанию стала блокировать макросы в документах Office из Интернета. Но ISO — пока относительно серая зона: Windows не всегда помечает файлы как опасные, а антивирусы не всегда копаются внутри ISO.
LNK-файлы: простые ярлыки в роли троянского коня
LNK-файл — это обычный ярлык Windows. Классика на рабочем столе. Но мало кто задумывается, что ярлык способен выполнять любые команды при запуске, включая запуск PowerShell, скачивание файлов, изменение настроек системы.
- Простота маскировки. LNK легко выдать за обычный документ, презентацию или даже картинку, просто сменив иконку и название.
- Внедрение сложных команд. В поле «Объект» прописывается целая цепочка команд. Можно запускать вредонос напрямую, можно стянуть скрипт из интернета, можно даже загрузить DLL и внедриться в процессы системы.
- Обход ограничений вложений. Многие почтовые сервисы фильтруют .exe, .js, .bat, но вот LNK — обычно нет. Поэтому LNK стал стандартной «приманкой» для атак после массового внедрения фильтров на другие типы файлов.
Как это выглядит: приходит письмо с темой «Вакансия. Отклик». Внутри архив с «Резюме.lnk». Открываешь — а по факту запускается PowerShell-команда, скачивающая и запускающая шпионскую программу.
Важно: современные версии Windows помечают LNK-файлы, полученные из интернета, специальным атрибутом Mark-of-the-Web, и предупреждают при запуске. Но есть техники удаления этого флага — через архиваторы, ISO или скачивание из облака.
Комбинированные атаки: творчество без границ
Если киберпреступники чего-то не любят, так это ограничиваться одним методом. Поэтому всё чаще встречаются комплексные атаки, где комбинируются PDF, ISO и LNK.
- В письме вложен архив, внутри которого ISO. Внутри ISO — якобы документы, но на деле LNK и исполняемые файлы.
- PDF-файл содержит ссылку на скачивание ZIP-архива, внутри которого LNK, запускающий PowerShell.
- В ISO прячется и LNK, и исполняемый скрипт, и вредоносный документ для максимальной гибкости атаки.
Иногда даже опытные специалисты с первого раза не замечают подвоха. Все этапы могут быть тщательно замаскированы: иконки, названия, оформление — всё сделано так, чтобы не вызывать ни малейших подозрений.
Сценарии усложняются: вредонос может загружаться по частям, некоторые команды выполняются только на определённых версиях Windows, используются проверки наличия виртуальной среды или антивируса.
Обход антивирусов и защит: почему эти схемы до сих пор работают?
У антивирусов есть слабое место: они не всегда «заглядывают» внутрь ISO или архивов, не анализируют сложные цепочки LNK и не всегда корректно распознают вредоносный скрипт внутри PDF. Добавим к этому человеческий фактор: человек, который ждёт важный документ или платёжку, часто действует на автомате.
- Многие фильтры ориентируются на базовые форматы (exe, js, bat) и не анализируют вложения глубоко.
- PDF-файлы с эксплойтами могут быть нераспознаны, если эксплойт свежий или модифицированный.
- ISO и LNK не всегда помечаются как опасные, особенно если скачаны не напрямую из интернета, а, например, через облачный сервис.
Кроме того, злоумышленники регулярно обновляют инструменты: мутируют сигнатуры, используют легитимные средства Windows для выполнения атак (Living off the Land), добавляют в цепочку легитимные файлы, чтобы сбивать с толку защиту.
В итоге: вложения, казалось бы, простейшие, а результат — полный компромисс системы.
Знаковые атаки и реальные кейсы
За последние годы таких кейсов было немало. Например, широко обсуждалась атака Emotet — вредонос рассылал письма с вложенными документами и LNK-файлами, используя хитроумные техники обхода фильтров. Другой пример — использование PDF с эксплойтами в банковском фишинге: якобы выписка или приглашение на оплату, а по факту — загрузка трояна через уязвимость в PDF-ридере.
Не отстают и продвинутые группировки APT: в их арсенале встречаются и многоступенчатые ISO, и гибридные архивы с LNK и скриптами, маскирующимися под легитимные документы. Ещё в 2023 году фиксировались атаки, где в одном ISO упаковывались и вредонос, и LNK, и PDF для максимального обмана пользователя.
Каждый раз злоумышленники выдумывают что-то новенькое, чтобы проскочить мимо защит — и в большинстве случаев добиваются успеха благодаря банальному доверию пользователя к вложениям.
Как защититься? Практические советы
Стоит ли вообще открывать вложения? Конечно, да — без этого не обойтись в современном мире. Но следовать простым правилам всё же стоит:
- Не открывать вложения от незнакомых отправителей. Даже если документ кажется важным, проверьте адрес, попросите подтверждение через другой канал.
- В настройках проводника Windows снимите галочку с пункта «Скрывать расширения для зарегистрированных типов файлов», чтобы сразу распознать подозрительный «Налоговый_вычет.pdf.lnk».
- С подозрением относиться к вложениям с необычными расширениями: .iso, .lnk, .js, .vbs, .exe и даже .pdf.
- Не монтировать ISO-файлы из писем без крайней необходимости, особенно если внутри только один «документ» или подозрительные ярлыки.
- Обновлять PDF-просмотрщики и офисные пакеты. Уязвимости появляются регулярно, а обновления часто их закрывают.
- Использовать антивирус с глубокой инспекцией архивов и вложений
- Эпизодически использовать VirusTotal для онлайн-проверки сомнительных файлов.
- Ограничить запуск макросов, скриптов и исполняемых файлов из вложений политиками безопасности.
- Помнить: если файл кажется странным, выглядит необычно или пришёл без объяснений — скорее всего, это ловушка.
Для корпоративной среды стоит использовать дополнительные средства защиты почты и прокси, которые способны глубже анализировать содержимое вложений — например, PT Sandbox
Вывод: война вложений продолжается
Вредоносные вложения — это не пережиток прошлого, а настоящая головная боль для каждого пользователя и организации. PDF, ISO, LNK — лишь вершина айсберга, а человеческая доверчивость к «простым документам» остаются главным оружием атакующих.
Парадокс: чем проще кажется файл, тем опаснее он может быть на самом деле. Современные атаки становятся всё более изощрёнными, а инструменты маскировки и обхода защит только совершенствуются. Единственный реальный барьер — критичность мышления и минимальный набор кибер-гигиены.
Если письмо с вложением пришло неожиданно — всегда лучше спросить, чем потом искать способ восстановить взломанные аккаунты или утраченные данные. Механика атак понятна — но, увы, уязвимость человеческой натуры остаётся вне зоны обновлений.