Специалисты Symantec предупреждают: против российских банков проводится направленная фишинговая кампания, в ходе которой распространяется спайварь Ratopak.
По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 года (нечто похожее также наблюдалось в октябре 2015 года, но пока связать данные инциденты официально не удалось). С самого начала зимы неизвестные рассылают сотрудникам банков письма, якобы от лица представителей Центрального банка РФ. Для этого злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru.
В письмах фальшивый Центробанк сообщает, что жертве очень повезло, так как в ЦБ как раз открылась вакансия, и кандидатуру жертвы якобы уже рассмотрели. Все подробности предлагается узнать, скачав защищенный паролем ZIP-архив (пароль приводится в письме), который на самом деле содержит троян Ratopak.
Атакующие действуют довольно небрежно. Домен cbr.com.ru – это очевидный фейк, а также имя отправителя в поле «От:» не совпадает с именем, которое используется в подписи к письмам.
Исследователи пишут, что при этом Ratopak является очень мощным инструментом. Троян способен перехватывать нажатия клавиш, делать снимки рабочего стола, похищать данные из буфера обмена, а также скачивать на зараженную машину произвольные файлы, в том числе дополнительную малварь. Перед тем как начать полноценную работу, Ratopak убеждается, что основным языком системы является русский или украинский.
Многие зараженные компьютеры использовались для ведения бухгалтерской отчетности и налоговой документации. Хакеры сумели обратить себе на пользу и это. Так как во многих случаях для ведения электронной отчетности использовалось ПО «СБиС», и бухгалтеры привыкли к ссылкам вида "buh.sbis.ru/buh/", злоумышленники маскировали работу Ratopak под бухгалтерский софт, в числе прочего. Вот некоторые домены, при помощи которых атакующие старались усыпить бдительность жертв:
- google997.com
- microsoft775.com
- newsbuh1c.net
- buh.klerk.us
- buhnews.com
- football.championat.biz
- forum.ru-tracker.net
- icq.chatovod.info
- rss.sport-express.biz
Эксперты Symantec пишут, что пока точная цель атакующих неясна, но, скорее всего, хакеры преследуют финансовую выгоду. Впрочем, остается неясным, зачем злоумышленникам понадобилась налоговая отчетность конкретных банков, если они охотились за ней.
Фото: РИА
