В Южной Корее произошла утечка данных клиентов из зарубежных банков

В Южной Корее произошла утечка данных клиентов из зарубежных банков

Представительства двух крупных иностранных банков в Южной Корее оказались в центре неприятного скандала, который грозит финансовой безопасности многих клиентов этих финансовых институтов. Из баз данных банков Standard Chartered Bank и Citi Bank Korea была допущена утечка конфиденциальной информации на 130 тысяч клиентов.

Как сообщили представители корейской полиции, утечка произошла из-за действий двух сотрудников упомянутых банков, которые украли информацию. Один из них (сотрудник "Сити Банка") распечатал личные и контактные данные на более чем 30 тысяч человек, а другой (сотрудник SC) скопировал информацию "по просьбе старшего товарища" на USB-носитель. Эти данные, которые содержали имена клиентов, их телефоны, адреса, а также сведения о финансовом положении, были переданы на сторону. За свою работу они получили в общей сложности около 300 миллионов вон (около 300 тысяч долларов). Сведения были использованы затем для рассылки по телефонам рекламы с предложениями о выдаче займов. Полиция же опасается, что такого рода информация может быть использована и для более серьезных действий - для втягивания людей в различные аферы, сообщает rg.ru.

Всего по делу задержаны пять человек, еще семерым предъявлены обвинения, но без формального ареста.

Скандал стал сильным ударом для репутации действующих в Корее зарубежных банков. Так, совсем недавно "Сити Банк" был признан "Банком года" по итогам работы в текущем году. Несмотря на это банк ранее уже заявил, что сократит свою деятельность в Корее. Количество филиалов по всей стране будет уменьшено на 10 %.

Комментарий главного аналитика компании InfoWatch Николая Федотова:

«Полагаю, что сведения о планируемом использовании данных вписаны в новость ради успокоения вкладчиков. Получение спама – это самая безобидная из всех целей, для которых похищаются данные. На самом деле, спамеры платят не так уж много. Гораздо выгоднее будет продать банковскую тайну мошенникам. А ещё выгоднее – налоговым органам зарубежных стран, которые с некоторых пор начали платить за такие данные, чем инициировали череду утечек в банковском секторе. Не получив ещё никакого предложения, только услышав о том, что налоговики Франции и Германии покупали утечки из трёх швейцарских банков, любой банковский инсайдер может решиться на кражу данных».

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru