Западные банки получили предупреждение о сверхмасштабной атаке

Западные банки получили предупреждение о сверхмасштабной атаке

Западные ИТ-компании и независимые специалисты говорят, что уже почти две недели три десятка крупнейших американских банков подвергаются очень крупной и скоординированной хакерской атаке, включающей в себя DDoS, сканирование на уязвимости, фишинг-кампании и другие приемы. Большая часть экспертов склонна полагать, что проводится атака силами довольно крупной международной хакерской группировки, основным мотивом которой является финансовая нажива.

В компании RSA Security рассказали, что анализировали проводимую хакерами банковскую атаку и пришли к выводу, что специально для нее хакерами был создан кастомизированный троянец, предназначенный для проникновения на компьютеры клиентов крупных американских банков и кражи с них разных данных. В свою очередь краденные данные применяются хакерами для незаконного перевода денег при помощи систем онлайн-банкинга.

Мор Ахавиа, специалист по коммуникациям RSA FraudAction Team, говорит, что по расчетам их компании в атаке задействована крупнейшая в истории международная хакерская группа, насчитывающая не менее сотни бот-мастеров, каждый из которых использует ресурсы подконтрольной ему бот-сети для проведения атак и распространения банковских вредоносов. "За каждым из бот-мастеров стоят так называемые инвесторы, которые дают деньги на покупку программного и аппаратного обеспечения, необходимого для атак", - говорит Ахавиа. "Мы впервые видим, когда финансово-мотивированные группы достигают таких масштабов и такого уровня взаимодействия".

Напомним, что на этой неделе крупные американские банки уже получили циркуляр о переходе на высший уровень готовности ко внешним угрозам. Сами банки, в частности JP Morgan Chase, Bank of America, Citigroup и Wells Fargo, еще на прошлой неделе подверглись массированным DDoS-атакам, в результате которых их системы онлайн-банкинга, эквайринга и торговли акциями стали недоступны и тысячи клиентов не смогли выполнить нужные финансовые операции, передает cybersecurity.ru.

Ранее ответственность за организацию DDoS на ряд банков в США взяла на себя ближневосточная хакерская группировка Cyber fighters of Izz ad-din Al qassam, однако западные эксперты сомневаются, что она является подлинным или единственный организатором кампании. Сама группировка заявляла, что DDoS - это месть США за отказ от удаления антиисламского ролика.

Примечательно, что незадолго до начала атак американский центр FS-ISAC (Financial Services Information Sharing and Analysis Center) предупредил банки о высокой вероятности кибератак и кампаний, связанных с онлайн-мошенничеством. В сообщении говорилось, что велика вероятность всплеска троянской активности, исходящей из Азии и Ближнего Востока.

В RSA говорят, что за последние несколько кварталов хакеры сосредоточились на атаке в направлении малого бизнеса и правительственных ведомств локального масштаба. Сейчас же атака ведется при помощи малоизвестного троянца Gozi Prinimalka, ориентированного именно на частных клиентов именно американских банков.

Ранее антивирусные компании уже сообщали о троянце Gozi, который был использован для кражи нескольких миллионов долларов со счетов в западных банках. Новая версия вредоноса представляет собой сильно модернизированную версию оригинала. Новинка может не только связываться с C&C-сервером мощенников, но и имеет расширенный функционал по работе на компьютере-жертве. Такой как поддержка виртуальных ОС, клонирование настроек ПК, перехват тайм-зон, данных о браузерах и др.

В RSA говорят, что хакеры связываются с жертвами через SOCKS-прокси, что позволяет взаимодействовать с машиной на низком уровне, получая более широкие привилегии.

В RSA также заявили, что рекомендовали банкам развернуть более жесткие нормы по аутентификации для клиентов на всех уровнях и провести общий аудит систем онлайн-банкинга.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru