Российские банки снова атакуют. Кто на этот раз?
Эксперты «Лаборатории Касперского» обнаружили новую целевую атаку на финансовые организации России, Армении и Малайзии, сообщается в официальном блоге компании. Первая волна атак началась в июле 2017 года, а новые осуществляются и сейчас. Атака получила название Silence («Тишина»).
«Злоумышленники пользуются известной, но по-прежнему очень эффективной техникой. Заражение происходит через целевые фишинговые письма с вредоносными вложениями. Например, атакующие используют инфраструктуру уже зараженных учреждений и отправляют сообщения от имени настоящих сотрудников. Таким образом, они практически не вызывали подозрений. Часто текст выглядит как стандартный запрос на открытие счета», - отметили в «Лаборатории Касперского».
Отмечается, что содержащие вредоносные вложения письма в формате .chm представляют собой файлы со встроенными скриптами, которые запускают целую цепочку событий.
«В результате простого открытия вложения компьютер оказывается заражен сразу несколькими модулями троянца, конечная цель которых - собрать информацию об устройстве и отправить ее управляющему серверу. При этом все модули запускаются, маскируясь под службы Windows. Например, один из главных, который делает скриншоты экрана зараженного компьютера, идентифицируется как служба Default monitor. Проникнув в корпоративную сеть, мошенники получают возможность изучать инфраструктуру банка, а также следить за сотрудниками: например, с помощью записи видео с экрана монитора во время ежедневной рабочей активности. Таким образом злоумышленники выясняют, как все устроено в конкретной организации. После изучения и анализа данных киберпреступники осуществляют кражу или перевод денег», - отмечают в компании.
Атака Silence была зафиксирована в нескольких странах. В «Лаборатории Касперского» полагают, что это может говорить о растущей активности группы.
«При этом злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию. Такие техники в последнее время все чаще используются киберпреступниками, это очень тревожная тенденция: судя по всему, они будут активно применяться и в будущем», - сказал Сергей Ложкин, старший антивирусный эксперт «Лаборатории Касперского».
взято тут