RAT-вредоносное ПО через Windows Explorer ставит под угрозу криптовалюту

Cofense Intelligence раскрывает, как злоумышленники используют Windows File Explorer и серверы WebDAV для обхода браузерных систем безопасности и доставки RAT-ов корпоративным целям.

Злоумышленники нашли способ напрямую загружать вредоносное ПО на корпоративные компьютеры без использования веб-браузера. Cofense Intelligence опубликовала результаты 25 февраля 2026 года, в которых описана активная кампания, использующая встроенную возможность Windows File Explorer подключаться к удалённым серверам WebDAV. Эта тактика полностью обходится стандартных предупреждений о скачиваниях в браузере. Большинство пользователей даже не подозревают, что File Explorer может обращаться к интернет-серверам.

WebDAV — это устаревший протокол управления файлами на базе HTTP. Сегодня его используют немногие. Но Windows по-прежнему поддерживает его нативно внутри File Explorer, несмотря на то, что Microsoft отказалась от этой функции в ноябре 2023 года. Этот промежуток между устареванием и полным удалением — именно то, через что проходят злоумышленники.

Когда папка — это не совсем папка

По данным Cofense Intelligence в их отчёте, активность кампаний впервые появилась в феврале 2024 года, затем резко выросла в сентябре 2024-го. С тех пор она остаётся активной. Атаки не замедляются. 87 процентов всех отчётов о активных угрозах, связанных с этой тактикой, содержат множественные удалённые трояны доступа (RAT). Наиболее часто встречаются XWorm RAT, Async RAT и DcRAT.

Обязательно к прочтению: Уязвимость в криптозащите: январские взломы на сумму 86 млн долларов, рост фишинга

Как на самом деле работает атака

Жертвы получают фишинговые письма, часто замаскированные под счета-фактуры на немецком языке. В письмах содержатся либо ярлыки URL (.url), либо ярлыки LNK (.lnk). Оба файла могут тихо открыть соединение WebDAV внутри File Explorer. Пользователь видит, как будто это локальная папка. Но это не так.

Особенно опасно то, что происходит дальше. Скрипты скачивают дополнительные скрипты с отдельных серверов WebDAV. Легитимные файлы смешиваются с вредоносными, что затрудняет обнаружение. К моменту, когда RAT оказывается запущен, путь доставки прошёл через несколько уровней маскировки. Инструменты безопасности, сканирующие загрузки браузера, пропускают всю цепочку.

В отчёте Cofense отмечается, что 50% всех затронутых кампаний — на немецком языке. Англоязычные кампании составляют 30%. Итальянские и испанские — остальное. Такой расклад указывает на то, что основная цель — корпоративные электронные почтовые аккаунты в Европе.

Также стоит прочитать: npm Worm крадёт криптографические ключи, нацеливается на 19 пакетов

Cloudflare Tunnel играет важную роль для злоумышленников. Все отчёты, связанные с этой тактикой, используют бесплатные демонстрационные аккаунты на trycloudflare[.]com для размещения вредоносных серверов WebDAV. Инфраструктура Cloudflare маршрутизирует соединение жертвы, делая трафик похожим на легитимный при первом взгляде. Демонстрационные аккаунты создаются на короткий срок, поэтому злоумышленники быстро их удаляют после активации кампаний, что мешает проведению судебных экспертиз.

Почему криптохолдеры подвергаются серьёзной опасности

Здесь ситуация становится особенно опасной для владельцев цифровых активов. RAT-ы, такие как XWorm и Async RAT, предоставляют злоумышленникам постоянный удалённый доступ к заражённой машине. Это означает, что содержимое буфера обмена, сессии браузера, сохранённые пароли и файлы криптокошельков — всё находится в зоне досягаемости. Взлом буфера обмена, связанный с кражей сотен миллионов долларов в криптовалюте, становится тривиальной задачей, если запущен RAT.

Потери от фишинга в январе 2026 года превысили 300 миллионов долларов, согласно данным отслеживания безопасности. Эта цифра значительно превышает убытки от взломов протоколов за тот же период. Методы атак, задокументированные Cofense, напрямую связаны с этим потоком. Внедрение RAT через WebDAV на компьютере сотрудника финансовой команды — это не только проблема ИТ-отдела компании, а прямой путь к опустошённым кошелькам и украденным ключам.

Также стоит обратить внимание: Увеличение угроз делает безопасность криптокошельков приоритетом в 2026 году

Что должны делать организации сейчас

В отчёте Cofense рекомендуется искать сетевой трафик к демонстрационным экземплярам Cloudflare Tunnel. Инструменты EDR с поведенческим анализом должны отмечать файлы .URL и .LNK, обращающиеся к удалённым серверам. Более сложное решение — обучение пользователей. Большинство просто не знают, что адресная строка File Explorer работает как браузер.

Проверка её так же, как и подозрительного URL, — это первый уровень защиты. Аналогичные злоупотребления возможны через FTP и SMB. Оба протокола широко используются в корпоративной среде и оба могут обращаться к внешним серверам. Область атак, которую документирует Cofense, шире, чем только WebDAV.

Связано: Взломы и инциденты безопасности в 2025 году: год, раскрывающий слабые места криптовалют

Полный технический разбор, включая таблицы IOC и примеры доменов Cloudflare Tunnel, связанные с конкретными отчётами о активных угрозах, доступен в отчёте Cofense Intelligence, опубликованном на cofense.com.