ComicForm, начало: аналитики F6 изучили фишинговые кампании новой киберпреступной группы

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.

Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае — июне 2025 года и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.

Рисунок 1. Анимированное изображение из ссылки, спрятанной во вложении из фишингового письма

Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя «ComicForm».

Для фишинговых рассылок ComicForm используют адреса электронной почты, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Часть отправителей могла быть скомпрометирована. Характерным признаком группы стало использование в качестве обратного адреса (replay-to) ящика rivet_kz@…, зарегистрированного в бесплатном российском почтовом сервисе.
Помимо вредоносных вложений, злоумышленники используют также поддельные страницы сервисов для хранения документов. После перехода по предложенной в письме ссылке жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников.

Группа ComicForm ведет активную деятельность не только против компаний в России, но также Беларуси и Казахстана. Использование английского языка в некоторых фишинговых письмах предполагает возможные угрозы для зарубежных компаний. Так, в июне были зафиксированы следы атаки на казахстанскую телекоммуникационную компанию.

«Группировка ComicForm действует минимум с апреля 2025 года и активна по настоящее время. В начале сентября мы заметили, что злоумышленники расширяют свою инфраструктуру. Подобные угрозы остаются актуальны для компаний из всех сфер экономики, несмотря на повышение осведомленности и развитие инструментов защиты».

Владислав Куган

Аналитик отдела исследования кибератак департамента Threat Intelligence компании F6

Подробности исследования – в новом блоге на сайте F6.

Для предотвращения и защиты от возможных кибератак со стороны группировки ComicForm или групп со схожими техниками специалисты компании F6 рекомендуют следующие меры:

• Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.
• Используйте передовые решения для защиты электронной почты с целью предотвращения вредоносных рассылок. Рекомендуем ознакомиться с возможностями F6 Business Email Protection для эффективного противодействия таким атакам.
• Применяйте данные киберразведки, например, F6 Threat Intelligence, для проактивного поиска и обнаружения угроз. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.
• Внедряйте современные средства для обнаружения и реагирования на киберугрозы. Например, решение F6 Managed XDR использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.