Вторая атака на межбанковскую систему SWIFT связана со взломом Sony

Вторая атака на межбанковскую систему SWIFT связана со взломом Sony

Вторая атака на межбанковскую систему SWIFT связана со взломом Sony

Кража 81 миллиона долларов у центрального банка Бангладеш, случившаяся в марте 2016 года, была осуществлена через атаку на международную банковскую систему SWIFT. Специалисты оборонной корпорации BAE Systems продолжают разбираться в случившемся и сообщают: центральный банк Бангладеш был не единственной жертвой атак.

Более того, эксперты обнаружили связь между киберограблениями и знаменитым взломом компании Sony, имевшем место в 2014 году.

О том, что инцидент с центробанком Бангладеш – не единственный, заявил сам генеральный директор SWIFT Готтфрид Лейббрандт (Gottfried Leibbrandt). На финансовой конференции, прошедшей во Франкфурте на прошлой неделе, глава SWIFT сообщил, что «этот случай не был первым и вряд ли станет последним».

Напомню, что в марте 2016 года неизвестные сумели получить доступ к средствам центрального банка Бангладеш, который держит счет в Федеральном резервном банке Нью-Йорка (является частью Федеральной резервной системы США). Атаку реализовали через систему SWIFT, и, как стало известно позже, злоумышленники использовали для нападения кастомную малварь собственного производства, пишет xakep.ru.

Неизвестные хакеры пытались похитить почти миллиард долларов, однако деятельность злоумышленников была замечена раньше намеченного срока, так что центральный банк Бангладеш недосчитался «всего» 81 миллиона долларов. Преступников подвела орфография: хакеры явно спешили и опечатались в названии организации, которой предназначался перевод: вместо «Shalika Foundation» они написали «Shalika Fandation». Это привлекло внимание сотрудников банков и ФРС.

Теперь представители SWIFT и исследователи BAE Systems рассказали новые детали происшедшего. По словам главы SWIFT, атака на центробанк Бангладеш была не первой на счету злоумышленников и являлась часть масштабной кампании.

«Атакующие определенно обладали глубокими и детальными познаниями о специфике контроля над операциями в пострадавших банках. Эти сведенья они могли получить как от инсайдера, так и в результате кибератаки, также возможно и сочетание обоих вариантов», — гласит новое официальное послание SWIFT, которое процитировало на своих страницах издание New York Times.

В новом отчете экспертов BAE Systems, в свою очередь, сообщается, что вредоносное ПО, использованное в ходе ограбления центрального банка Бангладеш, связано с атаками на компанию Sony в 2014 году.

Согласно данным BAE Systems, в обоих случаях для разработки ПО использовался исключительно Visual C++ 6.0, а код малвари слишком схож, чтобы считать это простым совпадением. Также исследователи отметили, что от аналогичных атак пострадал и неназванный вьетнамский банк. Представители BAE Systems согласны с официальной позицией SWIFT: судя по всему, злоумышленники хорошо знали, что делают, и понимали, как работают системы банков. К примеру, в случае с вьетнамским банком, вредоносное ПО умело подделывало PDF-файлы, использовавшиеся для валидации операций. Малварь «удаляла все следы мошеннических инструкций», — пишут исследователи.

15 мая 2016 года представители вьетнамского банка Tien Phong (TPBank) сообщили, что недавно  им удалось предотвратить хищение 1,1 млн долларов через систему обмена банковской информацией SWIFT. Вряд ли это простое совпадение, так, Reuters предполагает, что данное заявление – прямой ответ на опубликованный BAE Systems отчет. Представители банка заявили, что TPBank «не понес никаких убытков», а также подчеркнули, что уже перешли на использование более безопасной системы неназванного производителя, которая обеспечивает защиту соединения между банком и системой SWIFT.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru