Киберпреступная группа Cobalt оттачивает свою схему на российских банках

Киберпреступная группа Cobalt оттачивает свою схему на российских банках

Киберпреступная группа Cobalt оттачивает свою схему на российских банках

Исследователи Trend Micro, отслеживающие деятельность хакерской группы Cobalt, пришли к выводу, что киберпреступники атакуют банки России, используя многофункциональный инструмент для тестирования на проникновение Cobalt Strike (благодаря нему группировка получила свое имя).

Исследователи отмечают интересный факт — Cobalt используют Россию в качестве площадки для тестирования новейших вредоносных программ, используемых в атаках на банки. В случае успеха они продолжают атаковать финансовые учреждения за пределами России. Это напоминает тактику другой киберкриминальной группы Lurk.

«В этих атаках злоумышленники маскируются под клиентов атакуемых ими банков, арбитражный суд и даже под компанию по борьбе с онлайн-мошенничеством. Жертва уведомляется, что ее интернет-ресурс был заблокирован», — пишут эксперты Trend Micro.

Первое вредоносное письмо этой группы, обнаруженное специалистами Trend Micro, содержало документ Rich Text Format (RTF), нагруженный вредоносными макросами. Следующее письмо, попавшее в поле зрения экспертов, уже использовало уязвимость CVE-2017-8759, позволяющую удаленно выполнять произвольный код в Microsoft’s .NET Framework.

Ниже представлены образцы некоторых спам-писем, отправленных Cobalt своим жертвам:

«Исследователи в области безопасности постоянно создают новые методы обнаружения такого рода угроз, однако киберпреступники также не отстают, корректируя свою тактику, чтобы остаться незамеченными. В случае с Cobalt, например, они рассматривают легитимные программы и утилиты Windows в качестве каналов, которые позволяют их вредоносному коду обходить белый список», — добавляют специалисты Trend Micro.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Московском регионе задержаны предполагаемые авторы вредоноса Медуза

Полиция Москвы и Подмосковья задержала троих айтишников. Молодые люди подозреваются в причастности к созданию и распространению вредоносной программы «Медуза», а также к использованию ее в атаках на территории России.

В ходе расследования выяснилось, что ворующий данные зловред был создан около двух лет назад и продвигался через хакерские форумы. В мае этого года он засветился в атаке на одно из учреждений Астраханской области.

Те же вирусописатели создали еще один вредоносный продукт — бот, умеющий обходить средства защиты данных.

Следственным управлением УМВД по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного ч. 2 ст. 273 УК РФ (создание / распространение / использование вредоносных программ в составе ОПГ, до пяти лет лишения свободы).

В ходе обысков у фигурантов были изъяты компьютерная техника, средства связи, банковские карты и другие предметы, имеющие доказательственное значение. Задержанным избраны различные меры пресечения, полиция пытается выявить других соучастников и дополнительные свидетельства противоправной деятельности.

О какой «Медузе» идет речь, можно только гадать. В пресс-релизе МВД РФ сказано, что зловред предназначен «для хищения учетных данных, сведений о криптокошельках и другой компьютерной информации».

По всей видимости, речь идет о Meduza Stealer, а не о банковском трояне Medusa, заточенном под Android, и уж явно не о шифровальщике с тем же именем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru