Киберпреступники Cobalt атакуют российские банки фишингом

Олег Иванов 31 Августа 2018 - 11:09

Таргетированные атаки

...

Киберпреступники Cobalt атакуют российские банки фишингом

Киберпреступная группа Cobalt снова была замечена в незаконной онлайн-активности. На этот раз злоумышленники атакуют банки России и Румынии целевым фишингом. Во вредоносных электронных письмах содержатся две злонамеренные составляющие, которые связываются с двумя разными командными серверами C&C.

Команда Arbor Networks ASERT 13 августа зафиксировала новую вредоносную кампанию, которая носила характерные признаки действий группировки Cobalt. Первой целью стал российский Банк Национальный стандарт.

Тут же была обнаружена и другая злонамеренная активность, в ходе которой атаковали уже банк Carpatica Commercial Bank/Patria Bank в Румынии.

Cobalt использовали стандартную технику фишинга — письма были замаскированы под отправленные другими финансовыми учреждениями уведомления, что увеличивало шанс того, что сотрудники откроют их и запустят вложения.

Исследователи изучили домен rietumu[.]me, который представляет собой C&C-сервер, используемый Cobalt, и нашли адрес электронной почты, который привел еще к пяти доменам, созданным 1 августа. Одним из них был inter-kassa[.]com.

Другие домены также пытались выдать себя за финансовые учреждения. Вот список обнаруженных экспертами доменов:

compass[.]plus — позиционирует себя как Compass Savings Bank;
eucentalbank[.]com — маскируется под Европейский центральный банк;
europecentalbank[.]com — также маскируется под Европейский центральный банк;
unibank[.]credit — маскируется под Unibank.

По словам исследователей, некоторые электронные письма содержали ссылки на вредоносные файлы. Один из этих файлов является документом Word с обфусцированными VBA-скриптами, а другой — бинарный файл, чье расширение изменено на JPG.

Напомним, что в мае Group-IB раскрыла подробную информацию о киберпреступниках Cobalt.

А в марте лидер группировки Cobalt был пойман в Испании.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 12 Февраля 2026 - 09:23

Мошенничество Домашние пользователи

Злоумышленники все чаще звонят на городские телефоны

Телефонные мошенники всё чаще переключаются на стационарные телефоны. Это связано с более слабой защитой фиксированной связи на уровне сети, а также с отсутствием определителей номера во многих домах. Кроме того, стационарные номера сегодня используют реже и почти не оставляют их в качестве контактных. Поэтому любые входящие вызовы на них воспринимаются как более «доверительные».

О тенденции рассказал РИА Новости руководитель направления антифрода «Билайна» Александр Фадеев. По его словам, резкий рост таких звонков начался летом 2025 года. Уже в июне об активизации злоумышленников, использующих стационарные номера, предупреждал депутат Госдумы Антон Немкин.

«Городские телефоны — лёгкая мишень: в отличие от мобильных, они не защищены на уровне сети, и далеко не у всех есть определитель номера. При этом ими чаще пользуются пожилые люди и дети», — пояснил представитель «Билайна».

Среди мошеннических сценариев по-прежнему заметную долю занимает тема «продления абонентского договора». Именно с неё началась новая волна звонков на стационарные телефоны прошлым летом. Конечная цель злоумышленников — «угон» аккаунта на Госуслугах или развитие двухступенчатой схемы с последующей кражей сбережений.

В числе новых сценариев Александр Фадеев назвал «оплату просроченных счетов» за услуги ЖКХ и ресурсоснабжающих организаций, а также «замену счётчиков». Популярны и легенды о предстоящей модернизации телефонной линии, бесплатной замене оборудования, переоформлении документов для пенсионного фонда или записи в поликлинику. Во всех случаях задача одна — получить персональные и платёжные данные, а иногда и запустить многоступенчатую схему хищения средств.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »