Новости · Безопасность файлов

Обычные файлы как оружие: почему в 2026 году опасны RAR-, SVG- и PDF-вложения

Чтобы обойти антивирусы и почтовые фильтры, злоумышленники всё реже присылают явные «вирусы» вроде .exe — и всё чаще прячут вредоносную начинку в файлах, которым мы привыкли доверять. Свежие отчёты и кампании 2026 года показывают: главными «упаковками» для атак стали PDF-документы, картинки в формате SVG и архивы RAR. Разбираемся, как это работает и как открывать вложения без риска.

6 июля 2026 Редакция LoadFile Чтение 5 мин
Иконки документа, архива и картинки вокруг щита со знаком вредоносного кода

Коротко: в 2026 году атаки всё чаще идут не через явные исполняемые файлы, а через привычные вложения. По данным отчётов 2025–2026 годов самым частым вредоносным вложением остаётся PDF, резко (примерно в 50 раз за год) выросла доля картинок SVG со спрятанным скриптом, а архивы RAR продолжают служить контейнером для загрузчиков — в июне 2026 такую схему зафиксировали в кампании со шпионом Phantom Stealer. Вывод для пользователя: опасность несёт не расширение, а источник и содержимое файла.

Что произошло

Специалисты по кибербезопасности в 2026 году фиксируют устойчивый сдвиг в тактике фишинга: вместо очевидных исполняемых файлов атакующие маскируют вредонос под безобидные документы, картинки и архивы. В свежем разборе, опубликованном в июне 2026 года, аналитики Fortra описали кампанию против организаций финансового сектора, где заражение начиналось с обычного на вид RAR-архива: внутри лежал командный .bat-файл под видом «запроса на коммерческое предложение», который запускал скрытый PowerShell-скрипт, закреплялся в системе и в итоге внедрял шпионскую программу Phantom Stealer в процесс explorer.exe.

Это не единичный случай, а часть общей картины. В обзоре почтовых угроз за I квартал 2026 года Microsoft и независимые исследователи отмечают рост атак через вложения-приманки и стремительный взлёт нового вектора — вредоносных SVG-картинок. Отдельно выделяется всплеск «квишинга» (фишинга через QR-коды): по данным за квартал число таких атак выросло с 7,6 млн в январе до 18,7 млн в марте 2026 года — рост примерно на 146%, причём QR-коды нередко доставляют именно во вложениях-картинках и PDF.

Почему привычные форматы стали оружием

Логика атакующих проста: почтовые фильтры и антивирусы жёстко блокируют исполняемые вложения (.exe, .scr, .bat напрямую), но куда лояльнее относятся к «мирным» форматам. По данным отчётов компании Hoxhunt за 2025 год расклад вредоносных вложений выглядел так:

Тип вложенияДоля среди вредоносных (2025)Чем маскируется
PDF≈24% — самый частыйСчёт, договор, резюме, «документ на подпись»
HTML≈5,6% (было ~10% в 2024)Поддельная страница входа
SVG≈5% — рост почти в 50 раз за год«Картинка», превью, логотип
DOCX / EML≈4,4% / 1,4%Офисный документ, пересланное письмо

Ключевой сдвиг года — именно SVG: ещё в 2024-м на этот формат приходились доли процента вредоносных вложений, а к 2025 году он вышел на третье место, обойдя офисные документы. Причина в том, что SVG — это не растровая картинка, а текстовый XML-файл, внутри которого можно разместить полноценный JavaScript. Для человека это «изображение», а для браузера — исполняемый сценарий.

Как это работает: RAR, SVG и PDF

У каждого из трёх форматов — своя роль в цепочке атаки.

  • Архивы (RAR, ZIP, 7z) — контейнер-«обёртка». Внутрь кладут загрузчик или скрипт, а сам архив прикрывает содержимое от беглой проверки на почтовом шлюзе. Иногда архив ещё и защищают паролем «из тела письма» — тогда антивирус вообще не может заглянуть внутрь. Именно так работала июньская кампания с Phantom Stealer: RAR → .bat → PowerShell → шпион в памяти.
  • SVG-картинки — самостоятельный носитель фишинга. Обфусцированный JavaScript внутри SVG (часто закодированный через Base64 или XOR) при открытии файла либо перенаправляет жертву на поддельную страницу входа, либо целиком разворачивает фишинговую форму прямо из файла. Многие фильтры проверяют у SVG только MIME-тип и не заглядывают в разметку, а хеш-детект бессилен: малейшая правка кода меняет контрольную сумму.
  • PDF-документы — «доверенная» приманка. PDF выглядит солидно и открывается у всех, поэтому его используют как первый шаг: внутри — ссылка на фейковый портал, QR-код для «квишинга» или указание скачать следующий файл. Сам PDF при этом часто «чистый» с точки зрения сигнатур.
!
Почему это важно для обычного пользователя

Опасность определяется не расширением, а тем, откуда пришёл файл и что он просит сделать. Безобидная на вид картинка SVG или архив RAR от незнакомого отправителя способны запустить ту же цепочку заражения, что и явный «вирус».

Что это значит для работы с файлами

Хорошая новость: базовая гигиена закрывает почти все подобные сценарии. Вредонос почти всегда требует от жертвы действия — открыть вложение, включить макросы, ввести пароль от архива, перейти по ссылке. Если не делать этого на автомате, атака рассыпается. Несколько практических правил:

  1. Проверяйте отправителя, а не только тему письма. «Счёт», «резюме» и «запрос КП» — любимые приманки. Неожиданный архив или документ от незнакомого адресата — повод насторожиться, даже если письмо выглядит деловым.
  2. Не запускайте вложения из архивов «на доверии». Особенно опасны .bat, .cmd, .js, .hta и ярлыки .lnk внутри RAR/ZIP. О рисках исполняемых форматов — в разборе чем опасны EXE и APK.
  3. SVG из почты открывайте как текст, а не двойным кликом. Если сомневаетесь в присланной «картинке» SVG — откройте её в текстовом редакторе: наличие тегов <script> внутри «изображения» — явный тревожный сигнал.
  4. Подозрительный файл — на проверку. Прежде чем открывать вложение из непроверенного источника, прогоните его через онлайн-антивирусы — как это сделать, описано в гайде проверить файл на вирусы.
  5. Держите софт в актуальном состоянии. Архиваторы и просмотрщики — тоже точка входа: в 2026 году правили уязвимости и в WinRAR 7.23, и в 7-Zip 26.02. Обновляйтесь так же дисциплинированно, как браузер.

Общие правила безопасной работы с загрузками — как проверять вложения, шифровать данные и делать резервные копии — собраны в разделе безопасность файлов. Базовый принцип 2026 года стоит запомнить: доверять нужно не формату, а источнику.

Источники

Читайте также