«Солар»: злоумышленники прячут приблизительно 37% веб-угроз в архивах

ГК «Солар», архитектор комплексной кибербезопасности, проанализировала ключевые каналы доставки веб-угроз. По данным экспертов Solar webProxy, в 2025 году на архивы пришлось в среднем 37% всех веб-угроз, что делает их одним из наиболее массовых способов доставки вредоносного ПО в корпоративные сети.

Архивы: главный контейнер для веб-атак

Архивы удобны атакующим сразу по нескольким причинам. Они маскируют фактический состав инвестиции: внутри могут находиться LNK, BAT, VBS, HTA, EXE или целая цепочка загрузчиков, которую пользователь принимает за обычный комплект документов. С помощью SWG-системы обнаружить угрозу внутри запароленного или вложенного архива до сих пор было затруднительно. А сам структура хорошо работает как психологическая уловка: сотрудник видит «договор», «счёт» или «отчёт» и открывает файл без дополнительных проверок.

По данным аналитиков «Солара», в 2025 году доля архивов среди всех способов доставки вредоносных файлов через веб-трафик в среднем составила приблизительно 37%. На протяжении года показатель колебался от 34% до 42%, стабильно удерживаясь в тройке главных форматов доставки угроз.

Среди форматов первое место по популярности занимает RAR, за ним следуют ZIP и 7Z. Реже, но всё чаще встречаются TAR и образы дисков (ISO, IMG), которые используются в более технически подготовленных атаках. Приблизительно 24% архивных угроз за год пришлось именно на структура RAR.

Значительная часть угроз при этом попадает к пользователю не через почту, а напрямую через браузер: при скачивании файлов с поддельных страниц загрузки, через поисковую выдачу, облачные хранилища и файлообменные сервисы. По оценкам экспертов «Солара», до 22% вредоносных загрузок приходят именно через веб-канал. Одновременно около 12% угроз, доставляемых через электронную почту, обходят защиту на уровне почтовых шлюзов и api-интеграций, всё же добираясь до конечного пользователя.

Что представил аналитика: архивы как способ доставки

За два месяца 2026 года SWG-система Solar webProxy зафиксировала десятки тысяч заблокированных обращений, связанных с передачей архивов через веб-канал. Среди них — попытки загрузки запароленных контейнеров на внешние ресурсы, скачивание архивов с подозрительных доменов и передача файлов между сотрудниками в обход корпоративных политик.

Около 24 тысяч обращений были связаны с попытками загрузить через браузер файлы, содержащие признаки вредоносного ПО. Злоумышленники прячут вредоносную нагрузку внутри архивов, чтобы обойти фильтрацию на уровне SWG: достаточно поместить файл в контейнер, и стандартная тест по типу или имени файла перестает работать.

Понимая эти риски, компании из финансового сектора, промышленности и госсектора настраивают политики фильтрации, блокируя передачу определённых типов архивов и их содержимого. По данным мониторинга Solar webProxy, запароленные архивы форматов 7Z, RAR и ZIP составляют основную массу заблокированных объектов.

«Злоумышленники давно поняли, что архив — удобный метод пронести вредоносную нагрузку мимо сетевых средств защиты. Пароль на архиве делает его содержимое непрозрачным для большинства SWG-систем. Понимая это, крупные организации вводят жёсткие политики фильтрации: блокируют запароленные контейнеры, анализируют содержимое незащищённых архивов, отслеживают попытки передачи подозрительных файлов через веб-канал. Solar webProxy помогает реализовать эти политики и закрыть один из ключевых векторов проникновения», — рассказала Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».

Как выглядят атаки на практике: кейсы 2025-2026

Статистика подтверждается конкретными атаками, зафиксированными за новейший год.

В январе 2026 года группировка PhantomCore/HeadMare разослала письма с темой «ТЗ на согласование». Вложенный архив содержал вредонос, который загружал PowerShell-скрипты с легитимных сайтов на WordPress. Даже при том, что точкой входа было письмо, вся дальнейшая цепочка заражения уходила в сетевой: внешние домены, загрузка скриптов, штатные средства Windows.

В другом случае злоумышленники продвигали в поисковой выдаче поддельную страницу загрузки Microsoft Teams. Жертва скачивала ZIP-архив с троянизированным установщиком прямо из браузера, без участия почты.

В ряде кампаний атакующие использовали сразу два канала: почтовые инвестиции и ссылки на GitHub. Со временем архивы с EXE уступили место архивам с BAT и VBS, которые детектируются хуже. В одном из кейсов через архивы доставлялись LNK-файлы, замаскированные под PDF, после чего жертва загружала вторичный ZIP с внешнего домена. А в расследовании Solar 4RAYS письмо вообще не содержало вложений: в нём была гиперссылка на одноразовый служба организации-жертвы, где архив «Приложение.7z» можно было загрузить только один раз.

«Во всех этих кейсах архив является лишь одним из элементов многоуровневой веб-цепочки. Контроль одного почтового канала недостаточен, так как веб-ресурсы традиционно остаются одним из основных векторов атак на пользователей, и важно проводить их мониторинг», — подчеркнула Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».