Ты никогда не решишь проблему, если будешь думать так же, как те, кто ее создал.
Ты никогда не решишь проблему, если будешь думать так же, как те, кто ее создал.
Компания Group-IB сообщила о первой в этом году масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 тыс. получателей - сотрудников российских кредитно-финансовых организаций, в основном банков и крупных платёжных систем.
Массовая атака началась с фишинговых рассылок Silence 16 января, и впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. XIX международный Форум iFin-2019 действительно пройдет в Москве 19 и 20 февраля, и организаторы мероприятия сделали об этом рассылку около 9 утра по Москве 16 января. Через несколько часов было разослано "приглашение" от Silence, эта рассылка велась от имени Forum iFin-2019, но с адреса info@bankuco[.]com. Текстовые совпадения показывают, что злоумышленники использовали официальный анонс, но отредактировали его.
В письме Silence говорится: "Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума". К письму был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot - инструмент, который используют только хакеры Silence.
Как отмечают в Group-IB, практика маскировки вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ "приглашения" на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, шпионящие за получателем.
Кроме того, в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков - ЗАО "Банк ICA" и ЗАО "Банкуралпром". Отправители просили оперативно рассмотреть вопрос открытия и обслуживания корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась та же вредоносная программа Silence.Downloader.
По данным Group-IB, киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется много денежных средств, а банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск.
В частности, с 25 по 27 декабря 2018 г. Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтическои? компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь "соучредителем" фармкомпании, описывали ее филиальную структуру, указывали количество сотрудников. Более того, в письмо якобы был вложен "дизайн-макет", чтобы выпустить брендированные банковские карты для персонала. Подобное подготовленное предложение от клиента, считают эксперты, это хорошая наживка для банка, с высокой вероятностью получившие его банковские сотрудники откроют приложенный файл. Однако в результате распаковки архива произойдет загрузка на компьютер лоадера, а потом и основного модуля Silence.
Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована. Как комментируют в компании, масштаб действий Silence увеличивается: наблюдается не только рост атак по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. В работе группы специалисты фиксируют изменения, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. В Group-IB считают Silence одной из самых опасных русскоязычных групп, фактически ставя ее в один ряд с Cobalt и MoneyTaker.
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2025 гг.