ComicForm, начало: аналитики F6 изучили фишинговые кампании новой киберпреступной группы

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.

Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае — июне 2025 года и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.

Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя «ComicForm».

Для фишинговых рассылок ComicForm используют адреса электронной почты, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Часть отправителей могла быть скомпрометирована. Характерным признаком группы стало использование в качестве обратного адреса (replay-to) ящика rivet_kz@..., зарегистрированного в бесплатном российском почтовом сервисе.

Помимо вредоносных вложений, злоумышленники используют также поддельные страницы