Ботнет PowMix активен с декабря 2025 года и нацелен на работников Чехии, используя уникальные методы для обхода систем защиты. Это важный сигнал о том, как киберугрозы адаптируются и становятся более изощренными.
Что известно о PowMix
По этим Cisco Talos, PowMix использует случайные интервалы связи с командным сервером, что затрудняет его обнаружение. Вместо постоянного подключения он использует зашифрованные эти для маскировки своего трафика под легитимные API-запросы. Нападение начинается с загрузки ZIP-файла, вероятно, через фишинговое письмо, которое активирует многопоточную цепочку заражения.
Внутри ZIP-файла находится ярлык Windows, запускающий загрузчик PowerShell, который расшифровывает и выполняет встроенный вредоносный код в оперативной памяти. Эта новая ботнет-угроза предоставляет возможности удаленного доступа, коду выполнения и поддерживает постоянность через заэти задачи. PowMix также проверяет свою активность на зараженном хосте, чтобы избежать дублирования.
Тактики и цели PowMix
PowMix может выполнять разнообразные команды от командного сервера. При отсутствии ответа с символом # он переходит в режим произвольного выполнения, позволяя атакующим запускать любые скрипты. Одновременно он открывает документ-ловушку, прикрывающий свои действия, с упоминанием известных брендов, таких как Edeka, чтобы повысить доверие к получателям.
Кампания PowMix уже показывает схожесть с предыдущими атаками, например, с ZipLine, используя аналогичные методы доставки и попытки обойти антивирусные решения. Однако пока не выявлены конечные мауер-подгрузки, что оставляет вопросы о конечных целях этой кибератаки.
Что это значит для компаний в СНГ
Для компании, работающей в сфере бизнеса и IT, угроза от PowMix сигнализирует о необходимости пересмотра мер безопасности. Повышение осведомленности о фишинговых атаках и внедрение многоуровневых систем защиты — это шаги, которые помогут защитить сотрудников и информацию. Кроме того, использование технологий для анализа и мониторинга трафика помогут предотвратить потенциальные атаки.
Следующий отчет Cisco Talos предполагает дальнейшее изучение тактик PowMix и возможные обновления в защите. Ожидается, что киберугрозы будут только расти, требуя от компаний более проактивного подхода к безопасности.