Системы защиты от эксплойтов зафиксировали серию кибератак с применением нового вредоносного программного обеспечения. Специалисты глобальной лаборатории Kaspersky GReAT установили, что атака отличается высокой технической сложностью, что указывает на возможное участие поддерживаемой государством APT-группы. Злоумышленники использовали уязвимость нулевого дня в Chrome — о находке мы немедленно уведомили Google, после чего было выпущено срочное обновление.
Особенности атаки Operation ForumTroll
Киберугроза начинается с рассылки поддельных приглашений на конференцию «Примаковские чтения». В письмах размещены ссылки на якобы программу форума и регистрационную форму, которые на деле ведут на контролируемый хакерами ресурс. При открытии ссылок в браузерах Chrome или других Chromium-движках происходит автоматическое заражение устройств под Windows без дополнительных действий со стороны пользователя.
Эксплойт с идентификатором CVE-2025-2783 обходит защитные механизмы браузера. Детали пока не разглашаются, но известно, что уязвимость связана с ошибкой во взаимодействии браузера и ОС, позволяющей преодолеть изоляцию песочницы.
Полный анализ угрозы с индикаторами компрометации доступен в нашем блоге Securelist. После массового распространения патча эксперты опубликуют технический отчет об уязвимости.
Целевая аудитория атаки
Персонифицированные фишинговые письма рассылались журналистам, работникам российских госструктур и учебных заведений. По версии Kaspersky GReAT, целью кампании был сбор конфиденциальной информации.
Меры защиты
Сейчас фишинговые ссылки перенаправляют на легальный сайт форума, однако злоумышленники могут возобновить атаку. Рекомендуем:
- Обновить Chrome до версии 134.0.6998.177/.178 — уязвимость устранена 25 марта
- Установить современные защитные решения с технологиями блокировки эксплойтов на все устройтва с доступом в интернет
Продукты нашей компании эффективно обнаруживают вредоносные компоненты этой кампании.