Киберпреступники Cobalt атакуют российские банки фишингом

Киберпреступники Cobalt атакуют российские банки фишингом

Киберпреступная группа Cobalt снова была замечена в незаконной онлайн-активности. На этот раз злоумышленники атакуют банки России и Румынии целевым фишингом. Во вредоносных электронных письмах содержатся две злонамеренные составляющие, которые связываются с двумя разными командными серверами C&C.

Команда Arbor Networks ASERT 13 августа зафиксировала новую вредоносную кампанию, которая носила характерные признаки действий группировки Cobalt. Первой целью стал российский Банк Национальный стандарт.

Тут же была обнаружена и другая злонамеренная активность, в ходе которой атаковали уже банк Carpatica Commercial Bank/Patria Bank в Румынии.

Cobalt использовали стандартную технику фишинга — письма были замаскированы под отправленные другими финансовыми учреждениями уведомления, что увеличивало шанс того, что сотрудники откроют их и запустят вложения.

Исследователи изучили домен rietumu[.]me, который представляет собой C&C-сервер, используемый Cobalt, и нашли адрес электронной почты, который привел еще к пяти доменам, созданным 1 августа. Одним из них был inter-kassa[.]com.

Другие домены также пытались выдать себя за финансовые учреждения. Вот список обнаруженных экспертами доменов:

  • compass[.]plus — позиционирует себя как Compass Savings Bank;
  • eucentalbank[.]com — маскируется под Европейский центральный банк;
  • europecentalbank[.]com — также маскируется под Европейский центральный банк;
  • unibank[.]credit — маскируется под Unibank.

По словам исследователей, некоторые электронные письма содержали ссылки на вредоносные файлы. Один из этих файлов является документом Word с обфусцированными VBA-скриптами, а другой — бинарный файл, чье расширение изменено на JPG.

Напомним, что в мае Group-IB раскрыла подробную информацию о киберпреступниках Cobalt.

А в марте лидер группировки Cobalt был пойман в Испании.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На продажу в даркнет выставили ПДн российских клиентов Oriflame

Хакер продает персональные данные клиентов косметической компании Oriflame. Дамп похож на фрагмент базы, слитой в Сеть год назад. В файле информация о клиентах из стран бывшего СССР, включая Россию.

О крупной утечке из Oriflame стало известно год назад. Тогда в сеть попали 1,3 млн сканов паспортов российских клиентов косметического бренда. Компания объяснила потерю данных хакерской атакой, в ноябре Хамовнический суд оштрафовал Oriflame на 30 000 рублей.

Теперь база снова “всплыла”.

Telegram-канал “Утечки информации” пишет о базе в 14 млн строк. Это данные клиентов из бывших советских стран, в том числе и России: ФИО, пол, дата рождения, адрес эл. почты, телефон, адрес проживания, а также идентификаторы ВКонтакте и Facebook (компания Meta и Facebook признаны экстремистскими, их деятельность запрещена на территории России).

Фрагмент только по России содержит 5,5 млн строк.

По информации исследователей даркнета, у хакера есть и данные транзакций по кредитным картам. Продавать он их пока не планирует.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru