Шкідливе програмне забезпечення рідко зʼявляється на пристрої саме по собі — його туди доставляють. Методи, якими користуються зловмисники, постійно вдосконалюються: від фізичних носіїв і фішингових листів до атак через ланцюжок постачання та шкідливої реклами. Розуміння цих механізмів — перший крок до ефективного захисту.
- Від дискети до USB: фізичні носії як вектор атаки
- Фішинг: найпоширеніший метод доставки шкідливого ПЗ
- Смішинг і вішинг: атаки через SMS та телефон
- Drive-by download: зараження без дій користувача
- Шкідлива реклама: небезпека з легітимних рекламних мереж
- Атаки на ланцюжок постачання: зараження через довірених партнерів
- Месенджери та соціальні мережі як вектор поширення
- Вразливості програмного забезпечення та експлойт-кіти
- ШІ на службі у кіберзлочинців
- Як захиститися: базові заходи безпеки
Від дискети до USB: фізичні носії як вектор атаки
До появи інтернету шкідливе ПЗ поширювалося виключно через фізичні носії — дискети та компакт-диски. Сьогодні ця практика не зникла, а лише змінила форму. USB-накопичувачі залишаються актуальним вектором атаки, особливо проти організацій із критичною інфраструктурою.
Один з найвідоміших прикладів — хробак Stuxnet, що у 2010 році через заражений USB-носій вивів із ладу іранські ядерні центрифуги. Сучасна тактика дещо інша: зловмисники залишають флешки на парковках або у вестибюлях цільових організацій, розраховуючи на цікавість працівників. За даними досліджень, близько 45% людей підключають знайдені USB-накопичувачі до робочих компʿютерів. Деякі пристрої запрограмовані як так звані «USB Rubber Ducky» — вони емулюють клавіатуру і одразу після підключення виконують шкідливий код, не залишаючи часу на реакцію.
Фішинг: найпоширеніший метод доставки шкідливого ПЗ
За даними звіту Verizon Data Breach Investigations Report 2024, понад 60% зафіксованих кіберінцидентів починалися з фішингового листа. Механіка проста: жертва отримує електронний лист із вкладенням або посиланням, яке після відкриття запускає шкідливий код.
Сучасні фішингові кампанії поділяються на кілька типів. Масовий фішинг розраховує на велику кількість адресатів — зловмисники надсилають мільйони листів з повідомленнями про виграш у лотереї, необхідність підтвердити банківський рахунок, несплачені податки або судові виклики. Розрахунок робиться на психологічну реакцію — страх або жадібність змушують людину діяти імпульсивно, не перевіряючи джерело.
Цільовий фішинг (спірфішинг) — значно небезпечніший метод. Зловмисник ретельно вивчає жертву через відкриті джерела, соціальні мережі та корпоративні сайти, після чого надсилає персоналізований лист, що виглядає як повідомлення від колеги, партнера чи керівника. Такі листи складно відрізнити від справжніх навіть досвідченим користувачам. Різновид спірфішингу — «китобій» (whaling): атаки проти топменеджменту компаній, де одне успішне зараження може дати доступ до всієї корпоративної інфраструктури.
Окремо варто виділити BEC-атаки (Business Email Compromise): зловмисники зламують або підробляють корпоративну пошту, щоб від імені керівника дати вказівку перерахувати кошти або передати конфіденційні дані. За оцінками ФБР, збитки від BEC-атак у 2023 році перевищили 2,9 мільярда доларів лише у США.
Смішинг і вішинг: атаки через SMS та телефон
Із зростанням обізнаності про email-фішинг зловмисники активно переходять на мобільні канали. Смішинг — фішинг через SMS — використовує короткі повідомлення з посиланнями на шкідливі сайти або пропозиції завантажити «оновлення» застосунку. Особливо поширені підробки під банківські сповіщення, повідомлення про доставку посилок і системні попередження від операторів звʿязку.
Вішинг (voice phishing) передбачає телефонні дзвінки від «служби підтримки» банку, поліції або технічної служби. Жертву переконують встановити програму для «дистанційної допомоги» — яка насправді є інструментом віддаленого доступу для зловмисника. У 2024–2025 роках набув поширення ШІ-вішинг: шахраї використовують синтезований голос реальних людей (родичів, колег, керівників), що значно підвищує ефективність атак.
Drive-by download: зараження без дій користувача
Drive-by завантаження — це метод, за якого шкідливий код виконується автоматично при відвідуванні зараженого або шкідливого сайту, без будь-яких дій з боку користувача, крім самого переходу на сторінку. Такі атаки використовують незакриті вразливості у браузері, його плагінах або операційній системі.
Різновид — атака типу «водопій» (watering hole): зловмисники заражають сайти, які регулярно відвідують представники цільової організації — галузеві форуми, новинні ресурси, сайти постачальників. Такі атаки дуже складно виявити, оскільки сам сайт є цілком легітимним і давно відомим жертві.
Шкідлива реклама: небезпека з легітимних рекламних мереж
Malvertising — поширення шкідливого ПЗ через рекламні мережі — дозволяє зловмисникам дістатися до мільйонів користувачів, не зламуючи цільові сайти безпосередньо. Шкідливий код вбудовується в рекламний банер або редирект, який потім демонструється на цілком авторитетних ресурсах, зокрема новинних і розважальних порталах.
Особливо небезпечні кампанії malvertising, що використовують пошукову видачу: зловмисники купують рекламні позиції за брендовими запитами популярних програм (на кшталт «завантажити VLC» або «Adobe Reader») і розміщують посилання на підроблені сайти з інфікованими інсталяторами. Жертва, переконана, що завантажує офіційний продукт, натомість отримує бекдор або вимагач.
Атаки на ланцюжок постачання: зараження через довірених партнерів
Атаки на ланцюжок постачання (supply chain attacks) — один із найнебезпечніших сучасних методів. Замість прямого злому цільової організації зловмисники компрометують програмне забезпечення або сервіс, яким вона користується. Масштабний приклад — атака SolarWinds у 2020 році: через оновлення системи моніторингу Orion шкідливий код потрапив у мережі тисяч організацій по всьому світу, включаючи урядові відомства США.
Аналогічна логіка застосовується в атаках на npm, PyPI та інші репозиторії пакетів із відкритим кодом: зловмисники публікують шкідливі бібліотеки з назвами, схожими на популярні (typosquatting), або компрометують облікові записи справжніх розробників. Розробники, що автоматично оновлюють залежності, можуть несвідомо включити шкідливий код у власні продукти.
Месенджери та соціальні мережі як вектор поширення
Telegram, WhatsApp, Viber і Facebook Messenger давно стали активно використовуваними каналами для поширення шкідливого ПЗ. Зловмисники надсилають шкідливі файли від скомпрометованих або підроблених акаунтів знайомих — такі повідомлення викликають значно більше довіри, ніж листи від невідомих відправників.
Поширена схема у Telegram — шкідливі боти та канали, що пропонують «зламані» версії платних програм, читкоди для ігор або «безкоштовні» підписки на стримінгові сервіси. Завантажені файли містять троянські програми або шпигунське ПЗ. Окремо небезпечні QR-коди у соціальних мережах: вони можуть вести на фішингові сторінки або ініціювати завантаження шкідливих файлів.
Вразливості програмного забезпечення та експлойт-кіти
Значна частина заражень відбувається без жодних дій з боку користувача — через незакриті вразливості в операційній системі, браузері або встановлених програмах. Незакрита CVE (Common Vulnerabilities and Exposures) у популярному ПЗ може стати точкою входу для масових атак: зловмисники публікують або купують у даркнеті відповідні експлойти і використовують їх до виходу патча — або після, сподіваючись на те, що користувачі відкладатимуть оновлення.
Для автоматизованого масового використання таких вразливостей існують так звані експлойт-кіти — набори інструментів, що автоматично перевіряють систему відвідувача на наявність незакритих CVE і застосовують відповідний експлойт. Найвідоміші з них — Angler, RIG, Magnitude — у свій час були відповідальні за сотні тисяч заражень щомісяця.
ШІ на службі у кіберзлочинців
Із поширенням великих мовних моделей у 2024–2025 роках зловмисники отримали потужний інструмент для масштабування соціальної інженерії. Генеративний ШІ дозволяє створювати переконливі фішингові листи без граматичних помилок одразу десятками мов, персоналізовані для конкретних жертв на основі їхніх публічних профілів у соціальних мережах.
Дослідники зафіксували появу спеціалізованих підпільних інструментів — WormGPT, FraudGPT та аналогів — що не мають обмежень моделей безпеки та призначені виключно для кіберзлочинної діяльності. Крім генерації текстів, ШІ застосовується для клонування голосу (deepfake audio) і відеообманів (deepfake video) у ході телефонних та відеошахрайств.
Як захиститися: базові заходи безпеки
Розуміння методів доставки шкідливого ПЗ дає змогу вибудувати ефективну систему захисту. Своєчасне оновлення операційної системи, браузера та всього встановленого ПЗ закриває більшість вразливостей, якими користуються автоматизовані атаки. За даними Microsoft, своєчасне встановлення патчів запобігає понад 85% відомих атак.
Критично важливою залишається обережність з електронною поштою: перевірка справжньої адреси відправника (не лише відображуваного імені), утримання від відкриття вкладень від невідомих джерел і перехід за посиланнями безпосередньо через браузер, а не з листа. Підозрілі посилання варто спочатку перевіряти через безкоштовні сервіси на кшталт VirusTotal.
Антивірусний захист від перевіреного виробника та увімкнений брандмауер залишаються базовими елементами захисту. Корпоративним користувачам варто також впровадити двофакторну автентифікацію на всіх ключових сервісах — навіть якщо облікові дані буде скомпрометовано через фішинг, додатковий фактор не дозволить зловмиснику отримати доступ. Принцип найменших привілеїв — коли кожен обліковий запис має лише ті права, що потрібні для роботи — суттєво обмежує масштаб потенційного зараження.
Обізнаність залишається головним захистом. Регулярне навчання співробітників розпізнавати фішинг, перевіряти відправників і не підключати незнайомі носії — ефективніше за більшість технічних рішень. Людський фактор і досі є найбільшою вразливістю в будь-якій системі захисту.
