ГК «Солар», архитектор комплексной кибербезопасности, проанализировала ключевые каналы доставки веб-угроз. По данным экспертов Solar webProxy, в 2025 году на архивы пришлось в среднем 37% всех веб-угроз, что делает их одним из наиболее массовых способов доставки вредоносного ПО в корпоративные сети.
Архивы: главный контейнер для веб-атак
Архивы удобны атакующим сразу по нескольким причинам. Они маскируют реальный состав вложения: внутри могут находиться LNK, BAT, VBS, HTA, EXE или целая цепочка загрузчиков, которую пользователь принимает за обычный комплект документов. С помощью SWG-системы обнаружить угрозу внутри запароленного или вложенного архива до сих пор было затруднительно. А сам формат хорошо работает как психологическая уловка: сотрудник видит «договор», «счёт» или «отчёт» и открывает файл без дополнительных проверок.
По данным аналитиков «Солара», в 2025 году доля архивов среди всех способов доставки вредоносных файлов через веб-трафик в среднем составила около 37%. На протяжении года показатель колебался от 34% до 42%, стабильно удерживаясь в тройке главных форматов доставки угроз.
Среди форматов первое место по популярности занимает RAR, за ним следуют ZIP и 7Z. Реже, но всё чаще встречаются TAR и образы дисков (ISO, IMG), которые используются в более технически подготовленных атаках. Около 24% архивных угроз за год пришлось именно на формат RAR.
Значительная часть угроз при этом попадает к пользователю не через почту, а напрямую через браузер: при скачивании файлов с поддельных страниц загрузки, через поисковую выдачу, облачные хранилища и файлообменные сервисы. По оценкам экспертов «Солара», до 22% вредоносных загрузок приходят именно через веб-канал. Одновременно около 12% угроз, доставляемых через электронную почту, обходят защиту на уровне почтовых шлюзов и API-интеграций, всё же добираясь до конечного пользователя.
Что показал анализ: архивы как способ доставки
За два месяца 2026 года SWG-система Solar webProxy зафиксировала десятки тысяч заблокированных обращений, связанных с передачей архивов через веб-канал. Среди них — попытки загрузки запароленных контейнеров на внешние ресурсы, скачивание архивов с подозрительных доменов и передача файлов между сотрудниками в обход корпоративных политик.
Около 24 тысяч обращений были связаны с попытками скачать через браузер файлы, содержащие признаки вредоносного ПО. Злоумышленники прячут вредоносную нагрузку внутри архивов, чтобы обойти фильтрацию на уровне SWG: достаточно поместить файл в контейнер, и стандартная проверка по типу или имени файла перестает работать.
Понимая эти риски, компании из финансового сектора, промышленности и госсектора настраивают политики фильтрации, блокируя передачу определённых типов архивов и их содержимого. По данным мониторинга Solar webProxy, запароленные архивы форматов 7Z, RAR и ZIP составляют основную массу заблокированных объектов.
«Злоумышленники давно поняли, что архив — удобный способ пронести вредоносную нагрузку мимо сетевых средств защиты. Пароль на архиве делает его содержимое непрозрачным для большинства SWG-систем. Понимая это, крупные организации вводят жёсткие политики фильтрации: блокируют запароленные контейнеры, анализируют содержимое незащищённых архивов, отслеживают попытки передачи подозрительных файлов через веб-канал. Solar webProxy помогает реализовать эти политики и закрыть один из ключевых векторов проникновения», — рассказала Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».
Как выглядят атаки на практике: кейсы 2025-2026
Статистика подтверждается конкретными атаками, зафиксированными за последний год.
В январе 2026 года группировка PhantomCore/HeadMare разослала письма с темой «ТЗ на согласование». Вложенный архив содержал вредонос, который загружал PowerShell-скрипты с легитимных сайтов на WordPress. Даже при том, что точкой входа было письмо, вся дальнейшая цепочка заражения уходила в веб: внешние домены, загрузка скриптов, штатные средства Windows.
В другом случае злоумышленники продвигали в поисковой выдаче поддельную страницу загрузки Microsoft Teams. Жертва скачивала ZIP-архив с троянизированным установщиком прямо из браузера, без участия почты.
В ряде кампаний атакующие использовали сразу два канала: почтовые вложения и ссылки на GitHub. Со временем архивы с EXE уступили место архивам с BAT и VBS, которые детектируются хуже. В одном из кейсов через архивы доставлялись LNK-файлы, замаскированные под PDF, после чего жертва загружала вторичный ZIP с внешнего домена. А в расследовании Solar 4RAYS письмо вообще не содержало вложений: в нём была ссылка на одноразовый сервис организации-жертвы, где архив «Приложение.7z» можно было скачать только один раз.
«Во всех этих кейсах архив является лишь одним из элементов многоуровневой веб-цепочки. Контроль одного почтового канала недостаточен, так как веб-ресурсы традиционно остаются одним из основных векторов атак на пользователей, и важно проводить их мониторинг», — подчеркнула Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».
ссылка на оригинал статьи https://habr.com/ru/articles/1029242/