Специалисты GSOC «Газинформсервис» зафиксировали целенаправленную вредоносную рассылку, эксплуатирующую бренд форума GIS DAYS 2026. Письма имитируют официальные приглашения, выглядят убедительно - и несут в себе троян.
Как работает схема
Атака построена грамотно. На адреса руководителей компаний приходит письмо с темой «Генеральному директору. Приглашение на GIS DAYS 2026 - форум по информационной безопасности». Отправитель - внешний почтовый аккаунт, не имеющий никакого отношения к оргкомитету мероприятия.
К письму прикреплены два файла: PDF с визуально достоверным дизайном и поддельной электронной подписью, а также защищённый паролем архив. Пароль указан прямо в PDF - GISDAYS2026!Guest. Внутри архива скрыты два исполняемых .exe-файла.
Запуск любого из них устанавливает на машину троян с сигнатурой crime_win_ZZ_OffTask__Trojan. Вредонос прописывает в планировщике Windows задачу, которая поддерживает постоянное SSH-соединение с командным сервером по адресу 170.168.1.66. Проще говоря - машина уходит под внешний контроль.
Почему это опасно именно сейчас
Мошенники выбрали момент неслучайно. Форумный сезон в сфере информационной безопасности традиционно активен: рассылки с приглашениями привычны, а адресаты - топ-менеджеры - нередко открывают вложения без лишних вопросов. Использование актуальной айдентики GIS DAYS делает письмо особенно правдоподобным для тех, кто знаком с брендом.
Подобные атаки через событийный фишинг фиксируются регулярно: злоумышленники эксплуатируют доверие к известным мероприятиям, будь то конференции, выставки или государственные форумы. Целевая аудитория - именно руководящий состав, у которого, как правило, широкий доступ к корпоративной инфраструктуре.
Что говорят в «Газинформсервис» и оргкомитете
Руководитель GSOC Александр Михайлов дал чёткие рекомендации: не открывать вложения из подозрительных писем, немедленно удалять сообщения с выявленных адресов и оповещать ИТ- и ИБ-службы при получении подобной корреспонденции.
Оргкомитет GIS DAYS официально подтвердил: никаких рассылок с приглашениями через внешние почтовые сервисы не проводилось. Все коммуникации от имени форума идут исключительно через верифицированные каналы.
Что делать прямо сейчас
- Не открывать вложения из писем с темой, содержащей «GIS DAYS 2026», если адрес отправителя не принадлежит официальному домену форума
- Заблокировать адрес annaborisova.official@mail.ru и аналогичные на почтовых шлюзах
- Проверить планировщик задач Windows на наличие посторонних SSH-соединений
- Передать информацию об инциденте в ИБ-службу и уведомить оргкомитет GIS DAYS
Актуальные официальные данные о форуме публикуются только на его сайте. Всё остальное - повод насторожиться.