BI.ZONE об атаках группировки Fluffy Wolf
По сообщению компании BI.ZONE, с марта по май 2026 г. специалисты BI.ZONE Threat Intelligence зафиксировали серию фишинговых атак кластера Fluffy Wolf. Целями злоумышленников были российские организации из различных отраслей: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.
Авторы фишинговых рассылок выдавали себя за партнеров или подрядчиков компании-жертвы. Атакующие предлагали погасить финансовую задолженность и ознакомиться с «документами», приложенными к письму. Среди них был файл с реквизитами для оплаты, а также файл с претензией и требованием погасить долг.
Выявлено два типа фишинговых писем: с вложением в виде RAR-архива с вредоносным ПО и со ссылкой на GitHub-репозиторий атакующих, откуда загружался RAR-архив с ВПО. В архиве находились вредоносные загрузчики и дропперы, предназначенные для доставки в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key. Эксперты отмечают, что злоумышленники не разрабатывали ПО самостоятельно, а покупали инструменты на теневых площадках. Для примера, цена за годовую подписку на PureCrypter составляет 449 долл., PureLogs – 1250, PureRAT – 1499.
Сохранив привычный набор вредоносного ПО, отмечают аналитики, кластер Fluffy Wolf разнообразил методы доставки. Киберпреступники использовали плагин PluginRemoteDesktop для PureRAT, ранее не встречавшийся в атаках на российские организации. Также злоумышленники приобрели загрузчик PowerLoader, чтобы повысить эффективность проникновения и обхода систем защиты. Это снизило затраты на реализацию атаки: загрузчик PowerLoader, по данным BI.ZONE Threat Intelligence, обошелся примерно в 120 долл. Суммарная же стоимость всего вредоносного ПО оценивается в несколько тысяч долларов. Таким образом, в случае успешной атаки кластер может получить огромную прибыль.
Еще одна интересная особенность – использование ссылок на репозитории GitHub в фишинговых письмах. Благодаря тому что ссылки выглядели легитимно, увеличивалась вероятность перехода жертвы по вредоносному адресу. С помощью этих ссылок злоумышленники обходили почтовые фильтры и сетевые средства защиты.