Новости · Безопасность файлов

AsyncRAT в ZIP: чем опасен ярлык .URL из письма

Исследователи снова зафиксировали приём, при котором заражение начинается не с явного .exe, а с безобидного на вид ZIP-архива. Внутри — не документ, а маленький ярлык-ссылка .url, который тихо запускает длинную цепочку загрузок через легальный сервис туннелей Cloudflare и в итоге ставит на компьютер сразу несколько троянов удалённого доступа. Разбираем, как устроена атака и почему привычные форматы файлов снова оказались оружием.

10 июля 2026 Редакция LoadFile Чтение 6 мин
Архив-папка, из которой выходит ярлык-ссылка через сеть серверов к облаку — схема доставки вредоноса через файл-контейнер

Коротко: команда Forcepoint X-Labs описала свежую кампанию по доставке троянов AsyncRAT, VenomRAT и XWorm. Жертве присылают письмо-«счёт» со ссылкой на Dropbox; оттуда скачивается ZIP с ярлыком .url. Открытие ярлыка запускает цепочку LNK → PowerShell → JavaScript → BAT → Python через туннель TryCloudflare, а вредоносный код внедряется прямо в память. Главная защита — не открывать неожиданные архивы из писем и включить показ расширений файлов.

Что произошло

В начале июля 2026 года аналитики Forcepoint X-Labs опубликовали разбор новой волны фишинговой кампании, которая доставляет сразу несколько троянов удалённого доступа (RAT). Исследователи отмечают, что схема почти повторяет атаку, которую та же команда разбирала ранее: злоумышленники снова используют бесплатные туннели сервиса TryCloudflare и вредоносные Python-скрипты, только собранные в новую цепочку.

Для нас в этой истории важен не конкретный троян, а способ доставки. Он целиком построен на манипуляции файлами: ни на одном шаге пользователь не получает явного исполняемого вложения. Вместо этого атакующие выстраивают конструктор из форматов, которым люди привыкли доверять, — архива, интернет-ярлыка и системных скриптов. Именно поэтому кейс полезно разобрать всем, кто регулярно получает файлы по почте.

Как устроена цепочка заражения

Атака разворачивается в несколько последовательных шагов, и на каждом меняется формат файла — это и помогает обходить проверки:

  1. Письмо-приманка. Жертва получает сообщение, оформленное под счёт или инвойс, с кнопкой-ссылкой (в разобранном случае — на немецком языке), ведущей на легальное облако Dropbox.
  2. ZIP с ярлыком. По ссылке скачивается ZIP-архив, внутри которого лежит не документ, а интернет-ярлык — файл с расширением .url.
  3. Туннель TryCloudflare. Открытие ярлыка обращается по сети к поддомену *.trycloudflare.com (через протокол WebDAV) и подтягивает оттуда файл-ярлык .lnk. TryCloudflare — легальный сервис быстрых туннелей Cloudflare, поэтому такой трафик выглядит доверенным.
  4. PowerShell и JavaScript. Файл .lnk с помощью PowerShell скачивает с того же туннеля JavaScript-файл. После деобфускации тот тянет уже обфусцированный пакетный .bat-скрипт.
  5. Фальшивый счёт и второй архив. BAT-скрипт показывает пользователю убедительный фейковый PDF-инвойс (отвлекающий манёвр) и параллельно загружает второй ZIP — с вредоносным Python-пакетом.
  6. Внедрение в память. Python-скрипт load.py через ctypes применяет технику «Early Bird APC Queue injection» и вживляет шелл-код в только что запущенные системные процессы.

По данным Forcepoint, отдельные бинарные файлы разворачивают разные трояны: AsyncRAT внедряется в explorer.exe, VenomRAT — в notepad.exe, к ним добавляется XWorm. Все они дают атакующему удалённый контроль над машиной и связываются с командными серверами (в разборе упоминаются адреса 62.60.190.141 и 62.60.190.196). Ключевая идея всей схемы: до последнего момента на диске нет ни одного очевидно «вирусного» файла.

Почему ZIP и ярлык .URL — удобное прикрытие

Выбор форматов здесь не случаен. ZIP-архив — самый привычный контейнер: его открывают ежедневно, и вложенный внутрь файл нередко теряет системную «метку происхождения из интернета» (Mark-of-the-Web). Почтовые фильтры тоже реже заглядывают внутрь вложенного содержимого, чем оценивают прямое вложение. О том, как вообще устроены архивы и чем их открыть, мы рассказывали в разборе чем открыть RAR и другие архивы.

Ярлык .url — второй элемент маскировки. Это крошечный текстовый файл-ссылка: обычно он просто открывает сайт в браузере, поэтому воспринимается как безобидный. Но в поле адреса можно прописать не веб-страницу, а обращение к внешнему ресурсу по сети — и тогда одно открытие «ссылки» запускает загрузку следующего звена цепочки. Windows к тому же по умолчанию скрывает расширения, так что .url и .lnk легко выдать за документ.

!
Почему это важно для обычного пользователя

Спрятав первое звено в ZIP-архиве и ярлыке .url, а полезную нагрузку загружая по частям через легальный туннель Cloudflare, атакующие обходят сразу несколько рубежей защиты. Внешне вы «просто открываете присланный файл» — а на деле запускаете скачивание чужого кода.

Приём вписывается в общий тренд последних лет: вредонос всё чаще прячут в привычных форматах и «легальной» инфраструктуре. Похожую логику мы уже разбирали на примере вредоноса Avalon в ISO-образе и ярлыке LNK и опасных вложений в RAR, SVG и PDF — эта кампания добавляет к списку связку «ZIP + интернет-ярлык + облачный туннель».

Что это значит для работы с файлами

Даже если вы не администратор корпоративной сети, практические выводы простые и применимы каждый день. Опасность несёт не тип файла сам по себе, а его происхождение и то, что он делает при открытии. ZIP, URL, LNK, PDF — нейтральные форматы; вредоносными их делает контекст: неожиданное письмо, ссылка на облако, «счёт», который надо срочно открыть.

  • Настороженно относитесь к архивам из почты. Неожиданный ZIP «со счётом» от незнакомого отправителя — повод не открывать его вовсе, а не искать внутри документ.
  • Включите показ расширений файлов. Тогда ярлык .url или .lnk, замаскированный под .pdf, будет видно сразу. В Проводнике: «Вид» → «Показывать» → «Расширения имён файлов».
  • Не открывайте ярлыки-ссылки из вложений. Файл .url внутри архива — почти всегда признак цепочки загрузки, а не полезный документ.
  • Проверяйте подозрительное заранее. Если сомневаетесь в присланном файле, не открывайте его наугад — сначала проверьте файл на вирусы.

Общие правила безопасной работы с загрузками, вложениями и архивами мы собрали в разделе безопасность файлов. Главный принцип неизменен: понимание форматов помогает быстрее отличить обычный файл от приманки.

Источники

Читайте также