Вредоносная рассылка по банкам использовала адреса госучреждений

Вредоносная рассылка по банкам использовала адреса госучреждений

Вредоносная рассылка по банкам использовала адреса госучреждений

Специалисты ИБ-компании Group-IB рассказали о недавно зафиксированной массовой вредоносной рассылке, в ходе которой киберпреступники атаковали финансовые учреждения и предприятия. Вредоносные письма содержали троян RTM, который способен похищать денежные средства из ДБО и платежных систем.

Всего эксперты обнаружили 11 000 злонамеренных электронных писем, которые были отправлены якобы российскими госучреждениями (адрес отправителя был подделан). По подсчетам Group-IB, средняя сумма, которую злоумышленникам удается получить от одной такой успешной атаки, равна приблизительно 1,1 миллиону рублей.

Исследователи утверждают, что первые признаки вредоносной кампании были зафиксированы 11 сентября, в настоящий момент рассылки продолжаются. Киберпреступники атакуют в основном российские банки, промышленные и транспортные компании.

За первый месяц атаки (сентябрь) было отправлено 3210 вредоносных писем, в октябре злоумышленники были менее активны — 2311 писем, в ноябре набрали обороты — 4768 писем, в декабре пока было зарегистрировано 784 писем.

В рассылках использовались фейковые адреса государственных учреждений, коих эксперты насчитали 2 900. Атакующие маскировались, например, под региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и других учреждений.

В качестве тем писем выступали следующие: «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг». Что также должно было ввести в заблуждение получателя.

В прикрепленном к письмам архиве был исполняемый файл, который злоумышленники пытались замаскировать под PDF. Если служащий запускал этот файл, происходило немедленное заражение целевого компьютера.

Вредонос RTM используется с 2016 года, он специально создан для атак на корпоративных пользователей, имеет возможность атаковать бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО).

Зловред сначала вычисляет учетные данные пользователя, а затем скачивает и запускает средства удалённого управления. Это открывает возможность для создания платежного поручения и отправку его в ДБО.

Мошенники спрятали фишинг под кнопкой «отписаться от рассылки»

Мошенники нашли ещё один способ сыграть на человеческом раздражении: теперь они рассылают фейковые рекламные письма, где под привычной кнопкой «отписаться» прячется фишинговая ссылка. На почту приходит письмо, похожее на обычную рекламную рассылку. Внизу стандартная фраза: не хотите получать такие сообщения, нажмите «отписаться» или перейдите по ссылке.

Об этом ТАСС сообщил сенатор Артём Шейкин. Пользователь, уже уставший от спама, кликает и попадает не на нормальную страницу отказа от рассылки, а на сайт с формой подтверждения отписки.

Вместо одной кнопки или максимум адреса электронной почты человеку предлагают ввести персональные данные: имя, фамилию, телефон, адрес почты и другую информацию.

По словам Шейкина, так злоумышленники получают не просто активный адрес электронной почты, а более ценный набор сведений о человеке. Потом эти данные можно использовать для новых фишинговых писем, звонков и точечных атак.

Особенно опасна схема для корпоративной почты. Если такие письма массово прилетают сотрудникам компании, мошенники могут собирать рабочие адреса, должности, телефоны и другую информацию для будущих атак. В общем, отписка может внезапно стать первым шагом ко взлому компании.

Главная уловка в том, что человек действует не из страха, а из раздражения. Ему хочется быстро убрать ненужную рассылку, поэтому он не смотрит внимательно ни на адрес сайта, ни на странные формулировки, ни на объём запрашиваемых данных.

Настоящая отписка не должна требовать паспорт, телефон или лишние персональные сведения. Если письмо выглядит сомнительно, лучше не жать на ссылки, а удалить его, отправить в спам или проверить отправителя через официальный сайт компании.

RSS: Новости на портале Anti-Malware.ru