Новости · Безопасность файлов

Вредоносный PDF и звонок в «Teams»: как работает атака EtherRAT

Исследователи описали кампанию, где заражение начинается с обычного на вид PDF во вложении к письму, а следом жертве звонит «IT-поддержка» в Microsoft Teams. Через несколько минут разговора на компьютер попадает EtherRAT — троян удалённого доступа, который прячет свой командный сервер прямо в блокчейне Ethereum. Разбираем, как связаны файл-приманка и звонок и почему привычный PDF снова оказался первым звеном атаки.

15 июля 2026 Редакция LoadFile Чтение 6 мин
Документ выходит из открытого конверта-письма, от него тянутся сетевые линии к цепочке блоков блокчейна и к иконке звонка — схема доставки трояна

Коротко: издание BleepingComputer описало кампанию EtherRAT. Жертве присылают письмо с «опросом сотрудника» и PDF-вложением, а вскоре после его открытия звонят в Microsoft Teams под видом IT-поддержки и уговаривают установить программы удалённого доступа. В итоге на ПК ставят троян EtherRAT на Node.js. Главная защита — не открывать неожиданные вложения и не выполнять команды по «звонку от техподдержки».

Что произошло

6 июля 2026 года издание BleepingComputer опубликовало разбор фишинговой кампании, в которой злоумышленники комбинируют письмо с вложением, голосовой звонок в Microsoft Teams и легальные программы удалённого доступа, чтобы установить на компьютер жертвы вредонос под названием EtherRAT. О той же угрозе одновременно сообщили аналитики Malwarebytes, eSentire и издание Infosecurity Magazine.

Для нас в этой истории важен не только сам троян, но и точка входа. Вся цепочка начинается с файла, которому люди привыкли доверять, — PDF-документа во вложении. Именно он усыпляет бдительность и готовит почву для следующего шага. Поэтому кейс полезно разобрать всем, кто ежедневно получает документы по почте и общается с коллегами в корпоративных мессенджерах.

Как разворачивается атака: от PDF до звонка

Схема сочетает работу с файлами и социальную инженерию. Атака проходит несколько последовательных шагов:

  1. Письмо с PDF-приманкой. Жертва получает фишинговое сообщение с темой вроде «опрос сотрудника» (Employee Survey) и вложенным PDF-документом. Файл выглядит безобидно и не вызывает подозрений у почтовых фильтров.
  2. Звонок «от IT-поддержки». Вскоре после открытия документа поступает нежданный звонок в Microsoft Teams с внешнего аккаунта, где собеседник представляется системным администратором или службой поддержки. По данным BleepingComputer, в одном из случаев звонивший использовал адрес вида helpdesk@…onmicrosoft.com.
  3. Просьба поделиться экраном. Под предлогом «решения проблемы» жертву убеждают включить демонстрацию экрана и установить легитимные программы удалённого управления — HopToDesk и AnyDesk. Инструменты настоящие, поэтому антивирус к ним не придирается.
  4. Загрузка вредоносного установщика. Получив доступ, атакующий скачивает вредоносный MSI-установщик (в разборе — файл v7.msi) со стороннего сайта. Этот установщик работает как загрузчик основной полезной нагрузки.
  5. Запуск EtherRAT. Загрузчик разворачивает EtherRAT — кросс-платформенный троян удалённого доступа, написанный на Node.js. Он даёт атакующему полный контроль над системой.

По описанию исследователей, EtherRAT умеет выполнять команды, манипулировать файлами, красть данные и закрепляться в системе. В числе целей — криптовалютные кошельки и облачные учётные данные. BleepingComputer отмечает, что вредонос уже взяли на вооружение несколько разных групп злоумышленников.

Почему PDF-вложение — идеальная приманка

Выбор формата здесь не случаен. PDF — один из самых доверенных документов в деловой переписке: счета, договоры, анкеты и опросы почти всегда приходят именно в нём, поэтому такое вложение открывают почти автоматически. О том, чем открыть и как устроен этот формат, мы подробно рассказывали в материале чем открыть файл PDF.

Важно понимать: в этой кампании PDF работает как психологическая приманка, а не как эксплойт. Файл создаёт ощущение легитимного рабочего контакта — «вам прислали опрос, с вами связалась поддержка» — и снижает критичность жертвы к следующему, куда более опасному шагу: звонку и установке чужих программ. Атакующим не нужно взламывать сам просмотрщик; достаточно того, что документ выглядит уместно.

!
Почему это важно для обычного пользователя

Опасность несёт не тип файла сам по себе, а сценарий вокруг него. Открытие PDF ещё не заражает компьютер — но служит завязкой, после которой «сотрудник поддержки» уговаривает вас отдать управление машиной. Связка «доверенный документ + срочный звонок» обходит и антивирус, и здравый смысл.

Что необычного: командный сервер в блокчейне Ethereum

Технически EtherRAT выделяется тем, как он поддерживает связь с операторами. Вместо жёстко прописанного адреса командного сервера троян применяет приём под названием EtherHiding: адрес управляющего сервера хранится внутри смарт-контракта в блокчейне Ethereum, а вредонос считывает его через публичные RPC-провайдеры. Сам обмен данными маскируется под обычные запросы к сетям доставки контента (CDN).

Такой подход усложняет блокировку: запись в блокчейне нельзя «отключить» так же просто, как удалить вредоносный домен, а операторы могут дёшево менять инфраструктуру. Это иллюстрирует общий тренд — злоумышленники всё чаще прячут управляющие узлы в легальных и децентрализованных сервисах, чтобы уходить от блокировок и антивирусных списков.

Со стороны платформы меры тоже принимаются: Microsoft напоминает, что в Teams есть предупреждения о внешних звонящих и отдельная «комната ожидания» для подозрительных сторонних аккаунтов. Но эти механизмы работают, только если пользователь на них реагирует, а не спешит «решить проблему» по указке незнакомца.

Что это значит для работы с файлами и вложениями

Даже если вы не администратор корпоративной сети, практические выводы простые и применимы каждый день. Ключевая мысль: файл-приманка и последующий звонок — части одной цепочки, и разорвать её проще всего на первом шаге.

  • Настороженно относитесь к неожиданным вложениям. «Опрос сотрудника» или «счёт» в PDF от незнакомого отправителя — повод сначала проверить контакт, а не открывать документ рефлекторно.
  • Не выполняйте команды по входящему звонку. Настоящая IT-поддержка не звонит внезапно в мессенджер и не просит срочно включить демонстрацию экрана или поставить программу удалённого доступа. Сомневаетесь — положите трубку и перезвоните в поддержку по официальному контакту.
  • Не устанавливайте ПО «под диктовку». HopToDesk, AnyDesk и подобные инструменты сами по себе легальны, но опасны, когда их ставят по просьбе постороннего для доступа к вашей машине.
  • Проверяйте подозрительные файлы заранее. Если сомневаетесь в присланном вложении, не открывайте его наугад — сначала проверьте файл на вирусы.

Похожую логику «вредонос прячут в привычном формате и легальной инфраструктуре» мы уже разбирали на примере трояна AsyncRAT в ZIP-архиве с ярлыком .URL и опасных вложений в RAR, SVG и PDF. Общие правила безопасной работы с загрузками и вложениями собраны в разделе безопасность файлов: понимание форматов помогает быстрее отличить обычный документ от приманки.

Источники

Читайте также