Связанная с Беларусью хакерская группировка UNC1151, также известная как Ghostwriter, с марта 2026 года проводит фишинговые атаки против пользователей почтового сервиса Gmail. О новой масштабной фишинговой атаке сообщает польский центр реагирования на киберинциденты CERT Polska.
По данным экспертов, Ghostwriter остается одной из самых активных кибершпионских групп, действующих против граждан Польши. Если раньше основными целями атак были пользователи польских почтовых сервисов Onet, Wirtualna Polska и Interia, то теперь злоумышленники сосредоточились на аккаунтах Gmail. Новые домены для проведения атак регистрируются практически ежедневно.
«Группа атакует людей, вовлеченных в политическую деятельность, общественно активных граждан, лиц, занимающих заметные должности, ученых, журналистов, сотрудников государственных органов и силовых структур, а также других людей, связанных с ними семейными или дружескими отношениями.
Злоумышленники не всегда знают, кому принадлежит почтовый ящик, на который они отправляют фишинговые сообщения. Иногда они пытаются угадать адрес электронной почты человека, являющегося целью атаки, в результате чего вредоносные письма из-за совпадения имен и фамилий попадают к случайным людям», — сообщает CERT Polska.
Основная цель кампании — получение полного доступа к почтовым ящикам жертв. Для этого атакующие рассылают письма, замаскированные под официальные уведомления службы безопасности Gmail. В сообщениях говорится о подозрительной активности, попытках входа в аккаунт или возможной блокировке учетной записи.
Переход по ссылке из письма ведет на поддельную страницу авторизации, которая копирует интерфейс Gmail. После ввода логина и пароля пользователя просят указать код двухфакторной аутентификации. Это позволяет злоумышленникам перехватывать не только учетные данные, но и дополнительные средства защиты аккаунта, включая SMS-коды и одноразовые пароли из приложений-аутентификаторов.
По оценке польских экспертов, после взлома почтовых ящиков группа ищет в них контакты, документы и сведения о связанных аккаунтах, которые могут использоваться для дальнейших киберопераций и разведывательной деятельности.
В CERT Polska отмечают, что нынешняя кампания свидетельствует о расширении возможностей и масштабов деятельности Ghostwriter. Пользователям рекомендуют с особой осторожностью относиться к письмам о проблемах с безопасностью аккаунта и не вводить свои данные на страницах, открытых по ссылкам из электронной почты.
Напомним, недавно стало известно о кибершпионской кампании Ghostwriter против государственных учреждений Украины. Злоумышленники собирают информацию о системе, включая имя пользователя, название компьютера, версию операционной системы, время загрузки устройства и список запущенных процессов, а после анализа данных, при необходимости, получают удаленный контроль над системой и используют ее для шпионажа.
