Фишинг под маской форума. GIS DAYS атакуют мошенники
10 июля, 2026

Фишинг под маской форума. GIS DAYS атакуют мошенники

Фишинг под маской форума. GIS DAYS атакуют мошенники

Специалисты GSOC «Газинформсервис» зафиксировали целенаправленную вредоносную рассылку, эксплуатирующую бренд форума GIS DAYS 2026. Письма имитируют официальные приглашения, выглядят убедительно - и несут в себе троян.

Как работает схема

Атака построена грамотно. На адреса руководителей компаний приходит письмо с темой «Генеральному директору. Приглашение на GIS DAYS 2026 - форум по информационной безопасности». Отправитель - внешний почтовый аккаунт, не имеющий никакого отношения к оргкомитету мероприятия.

К письму прикреплены два файла: PDF с визуально достоверным дизайном и поддельной электронной подписью, а также защищённый паролем архив. Пароль указан прямо в PDF - GISDAYS2026!Guest. Внутри архива скрыты два исполняемых .exe-файла.

Запуск любого из них устанавливает на машину троян с сигнатурой crime_win_ZZ_OffTask__Trojan. Вредонос прописывает в планировщике Windows задачу, которая поддерживает постоянное SSH-соединение с командным сервером по адресу 170.168.1.66. Проще говоря - машина уходит под внешний контроль.

Почему это опасно именно сейчас

Мошенники выбрали момент неслучайно. Форумный сезон в сфере информационной безопасности традиционно активен: рассылки с приглашениями привычны, а адресаты - топ-менеджеры - нередко открывают вложения без лишних вопросов. Использование актуальной айдентики GIS DAYS делает письмо особенно правдоподобным для тех, кто знаком с брендом.

Подобные атаки через событийный фишинг фиксируются регулярно: злоумышленники эксплуатируют доверие к известным мероприятиям, будь то конференции, выставки или государственные форумы. Целевая аудитория - именно руководящий состав, у которого, как правило, широкий доступ к корпоративной инфраструктуре.

Что говорят в «Газинформсервис» и оргкомитете

Руководитель GSOC Александр Михайлов дал чёткие рекомендации: не открывать вложения из подозрительных писем, немедленно удалять сообщения с выявленных адресов и оповещать ИТ- и ИБ-службы при получении подобной корреспонденции.

Оргкомитет GIS DAYS официально подтвердил: никаких рассылок с приглашениями через внешние почтовые сервисы не проводилось. Все коммуникации от имени форума идут исключительно через верифицированные каналы.

Что делать прямо сейчас

  • Не открывать вложения из писем с темой, содержащей «GIS DAYS 2026», если адрес отправителя не принадлежит официальному домену форума
  • Заблокировать адрес annaborisova.official@mail.ru и аналогичные на почтовых шлюзах
  • Проверить планировщик задач Windows на наличие посторонних SSH-соединений
  • Передать информацию об инциденте в ИБ-службу и уведомить оргкомитет GIS DAYS

Актуальные официальные данные о форуме публикуются только на его сайте. Всё остальное - повод насторожиться.