Netikras „Microsoft“ saugumo įspėjimas vis dar veikia todėl, kad atrodo kaip įprasta apsauga, o ne kaip spąstai. 2026 m. birželio 14 d. Genians paskelbtame tyrime matyti būtent toks scenarijus: ScarCruft, dar žinomas kaip APT37, naudojo apgaulingus pranešimus apie tariamą paskyros saugumą, kad į „Windows“ kompiuterius įleistų „NarwhalRAT“.

Pats masalas buvo paprastas, bet veikė stipriai. Laiške teigta, kad vyksta neįprastas vienkartinių kodų generavimas ir galimas paskyros kompromitavimas, todėl gavėjas raginamas atsidaryti prisegtą dokumentą. Tik tas dokumentas nebuvo dokumentas: viduje slėpėsi ZIP archyvas su kenksmingu LNK failu. Tada grandinė juda toliau per tarpinius paketinius scenarijus, atsisiunčia „NarwhalRAT“, pasinaudoja legalia „Python“ versija ir net „Windows“ saugumo katalogo failu, kad kenkėjiškas kodas būtų paleistas kuo tyliau.

Kodėl šis triukas toks pavojingas

Čia pavojingiausia yra ne vien pats kenkėjas, o pasitikėjimo imitacija. Jei laiškas primena „Microsoft“ įspėjimą, daugelis vartotojų jį perskaito akimirksniu, ypač kai jame minima OTP sukčiavimo rizika arba tariamas bandymas prisijungti prie paskyros. Būtent tuo ir naudojasi ataka: ji sukuria skubos jausmą, o tada įprastą atsargumą pakeičia mechaniniu spragtelėjimu.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Kai „NarwhalRAT“ jau veikia, jis gali registruoti klavišų paspaudimus, fiksuoti ekrano vaizdus, rinkti aktyvių langų informaciją, kopijuoti aplankų turinį, net įrašyti garsą iš mikrofono. Genians taip pat nurodo, kad kenkėjas naudoja ir relines komunikacijos schemas, tarp jų Pietų Korėjos svetaines bei „pCloud“ API, kad ryšys su valdymo serveriais atrodytų kaip įprastas duomenų judėjimas, o ne kaip atvira ataka.

Dar vienas svarbus signalas yra tai, kad šis įrankis rodo APT37 posūkį nuo ankstesnių šeimų ir yra sukurtas labai praktiškai: ne įspūdingam triukui, o ilgalaikiam priėjimui prie aukos kompiuterio. Tokie kampanijų pokyčiai paprastai reiškia vieną dalyką paprastiems naudotojams — vien saugumo žodžiai laiške nieko neįrodo. Jei pranešimas prašo skubiai atidaryti priedą, ypač kai kalbama apie prisijungimą, kodus ar paskyros ribojimą, verta stabtelėti ir patikrinti kanalą pačiam.

Šaltiniai

  1. Fake Microsoft Alerts Used to Deploy North Korean NarwhalRAT MalwareThe Hacker News · 2026
  2. Analysis of APT37 NarwhalRAT Leveraging MS-Themed Phishing and Dead-drop C2Genians · 2026