Национальная служба экономической разведки

(383) 201-22-22, (383) 201-83-52

г. Новосибирск, ул. Железнодорожная, 6/2

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Премии как инструмент фишинга

Злоумышленники проводят целевую рассылку вредоносных писем сотрудникам российских компаний, маскируя атаку под сообщения о годовых премиях и бонусах

 

С октября текущего года зафиксирована серия атак, в которых вложения эксплуатируют тему итоговых выплат. Эта тема особенно актуальна в конце года, когда повышается вероятность, что сотрудник откроет файл с названием вроде «Список сотрудников, рекомендованных к премированию». На этой психологической уловке и строят свою кампанию атакующие. Особенностью данной кампании является использование нестандартного вредоносного груза — файлов с расширением .XLL.

 

Чем опасны XLL-файлы?

Обычно в подобных рассылках используются файлы с двойными расширениями (например, .docx.lnk), маскирующиеся под документы. В данном случае атакующие рассылают XLL-файлы — библиотеки надстроек для Microsoft Excel, которые по сути являются исполняемыми DLL.

В Проводнике Windows такие файлы отображаются как «Microsoft Excel XLL Add-in» со своей иконкой, похожей на логотип Excel. Расширение .xll легко спутать с привычными .xls или .xlsx. Для большей маскировки злоумышленники иногда используют длинные имена файлов, чтобы расширение не отображалось, или также применяют двойные расширения. При открытии такого файла автоматически запускается Excel, который загружает и выполняет вредоносный код библиотеки.

 

Механизм работы вредоноса

Вредоносная XLL-библиотека действует как загрузчик, который запускает скрипты PowerShell. Её работа состоит из двух этапов: закрепление в системе (первый скрипт создает задание в Планировщике задач для периодического выполнения, обеспечивая постоянное присутствие) и кража данных (второй скрипт является файл-граббером. Он ищет в домашнем каталоге пользователя файлы с десятками популярных расширений (документы, таблицы, изображения, архивы, сертификаты), упаковывает их и отправляет на FTP-сервер злоумышленников).

Дополнительно скрипт собирает системную информацию: конфигурацию сети, данные об ОС, список процессов. Часть настроек (например, учетные данные для FTP) он загружает с командного сервера в формате JSON. На этом его функциональность ограничивается — он не может загружать дополнительные модули.

 

Ошибки атакующих

Авторы этой кампании допустили несколько оплошностей:

  • Несоответствие в датах: Один из разосланных файлов имел название, ссылающееся на мероприятие в декабре 2026 года, что выглядит крайне неправдоподобно осенью 2025 года.
  • Программная ошибка: Вредоносная библиотека содержит баг. При попытке прописаться в автозагрузку Excel она ошибочно копирует не себя, а исполняемый файл excel.exe.

Защита: Для обнаружения подобных угроз, включая вредоносные скрипты и XLL-библиотеки, рекомендуется использовать современные защитные решения и сервисы Threat Intelligence для получения актуальных данных об угрозах.