RAT-шкідливе програмне забезпечення через Windows Explorer ставить криптовалюту під загрозу

Cofense Intelligence викриває, як зловмисники зловживають Windows File Explorer та серверами WebDAV для обходу безпеки браузера та поширення RAT на корпоративні цілі.

Зловмисники знайшли спосіб безпосередньо запускати шкідливе програмне забезпечення на корпоративних машинах без використання веб-браузера взагалі. Cofense Intelligence опублікувала результати 25 лютого 2026 року, виявивши активну кампанію, яка використовує вбудовану можливість Windows File Explorer підключатися до віддалених серверів WebDAV. Ця тактика повністю обходить стандартні попередження про завантаження з браузера. Більшість користувачів навіть не підозрює, що File Explorer може звертатися до інтернет-серверів.

WebDAV — це застарілий протокол управління файлами на основі HTTP. Сьогодні його використовують небагато. Але Windows все ще підтримує його нативно у File Explorer, хоча Microsoft скасував цю функцію у листопаді 2023 року. Цей проміжок між застаріванням і повним видаленням — саме те, через що проходять зловмисники.

Коли папка насправді не є папкою

Згідно з доповіддю Cofense Intelligence, обсяг кампаній вперше з’явився у лютому 2024 року, а потім різко зріс у вересні 2024 року. Відтоді він залишався активним. Атаки не зменшуються. 87 відсотків усіх звітів про активні загрози, пов’язані з цією тактикою, містять кілька віддалених троянів для доступу. Найчастіше з’являються XWorm RAT, Async RAT і DcRAT.

Обов’язково до прочитання: Зломи у криптобезпеці: січневі хакі склали 86 мільйонів доларів, фішинг зростає

Як насправді працює атака

Жертви отримують фішингові листи, часто маскуються під рахунки-фактури німецькою мовою. У листах містяться або ярлики URL (.url), або ярлики LNK (.lnk). Обидва можуть безшумно відкривати з’єднання WebDAV у File Explorer. Користувач бачить те, що здається локальною папкою. Насправді — ні.

Що робить цю атаку особливо руйнівною, — це ланцюг, що слідує за цим. Скрипти завантажують додаткові скрипти з окремих серверів WebDAV. Легітимні файли змішуються з шкідливими, щоб ускладнити виявлення. До моменту, коли RAT потрапляє на машину, шлях доставки пройшов кілька рівнів обфускації. Інструменти безпеки, що сканують завантаження з браузера, пропускають цю послідовність.

Звіт Cofense зазначає, що 50% усіх постраждалих кампаній — німецькомовні. Англомовні — 30%. Італійські та іспанські — решта. Цей розподіл прямо вказує на європейські корпоративні електронні адреси як основну цільову аудиторію.

Можливо, вас зацікавить: npm Worm краде криптоключі, цільові 19 пакетів

Cloudflare Tunnel виконує важку роботу для зловмисників. Всі звіти про активні загрози, пов’язані з цією тактикою, використовують безкоштовні демонстраційні акаунти на trycloudflare[.]com для хостингу шкідливих серверів WebDAV. Інфраструктура Cloudflare маршрутизує з’єднання жертви. Це робить трафік схожим на легітимний при першому огляді. Демонстраційні акаунти мають короткий термін дії, тому зловмисники швидко їх видаляють після активації кампаній, ускладнюючи форензичний аналіз.

Чому криптовалютні власники під загрозою

Тут стає особливо небезпечно для тих, хто зберігає цифрові активи. RATи, такі як XWorm і Async RAT, дають зловмисникам постійний віддалений доступ до інфікованої машини. Це означає, що буфер обміну, сесії браузера, збережені паролі та файли криптогаманців — все в межах досяжності. Взлом буфера обміну, вже пов’язаний із крадіжкою сотень мільйонів у криптовалютах, стає тривіальним, коли RAT запущений.

Збитки від фішингу лише у січні 2026 року перевищили 300 мільйонів доларів, згідно з даними безпекових трекерів. Ця сума значно перевищує збитки від протоколів у цей період. Методи атаки, задокументовані Cofense, безпосередньо сприяють цій ситуації. Встановлення RAT через WebDAV на машині співробітника фінансової команди — це не просто проблема корпоративної ІТ-безпеки. Це прямий шлях до зливу гаманців і крадіжки ключів.

Ще варто звернути увагу: Зростання загроз змусить підвищити безпеку криптогаманців у 2026 році

Що мають зробити організації зараз

Звіт Cofense рекомендує зосередитися на пошуку мережевого трафіку до демонстраційних інстанцій Cloudflare Tunnel. Інструменти EDR з поведінковим аналізом мають позначати файли .URL і .LNK, що звертаються до віддалених серверів. Більш складним рішенням є навчання користувачів. Більшість просто не знає, що адресний рядок File Explorer працює так само, як і браузер.

Перевірка його так само, як і підозрілого URL, — перша лінія оборони. Подібне зловживання можливе й через FTP та SMB. Обидва протоколи широко використовуються в підприємствах і можуть звертатися до зовнішніх серверів. Обсяг атак, який документує Cofense, ширший за WebDAV.

Пов’язане: Зломи та інциденти безпеки у 2025 році: рік, що розкрив найслабкіші ланки криптоіндустрії

Повний технічний розбір, включаючи таблиці IOC і приклади доменів Cloudflare Tunnel, пов’язаних із конкретними звітами про активні загрози, доступний у звіті Cofense Intelligence, опублікованому на cofense.com.