Вредоносная рассылка по банкам использовала адреса госучреждений

Вредоносная рассылка по банкам использовала адреса госучреждений

Специалисты ИБ-компании Group-IB рассказали о недавно зафиксированной массовой вредоносной рассылке, в ходе которой киберпреступники атаковали финансовые учреждения и предприятия. Вредоносные письма содержали троян RTM, который способен похищать денежные средства из ДБО и платежных систем.

Всего эксперты обнаружили 11 000 злонамеренных электронных писем, которые были отправлены якобы российскими госучреждениями (адрес отправителя был подделан). По подсчетам Group-IB, средняя сумма, которую злоумышленникам удается получить от одной такой успешной атаки, равна приблизительно 1,1 миллиону рублей.

Исследователи утверждают, что первые признаки вредоносной кампании были зафиксированы 11 сентября, в настоящий момент рассылки продолжаются. Киберпреступники атакуют в основном российские банки, промышленные и транспортные компании.

За первый месяц атаки (сентябрь) было отправлено 3210 вредоносных писем, в октябре злоумышленники были менее активны — 2311 писем, в ноябре набрали обороты — 4768 писем, в декабре пока было зарегистрировано 784 писем.

В рассылках использовались фейковые адреса государственных учреждений, коих эксперты насчитали 2 900. Атакующие маскировались, например, под региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда и соцразвития, УФСИН, прокуратуры, судов и других учреждений.

В качестве тем писем выступали следующие: «Оплата август-сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг». Что также должно было ввести в заблуждение получателя.

В прикрепленном к письмам архиве был исполняемый файл, который злоумышленники пытались замаскировать под PDF. Если служащий запускал этот файл, происходило немедленное заражение целевого компьютера.

Вредонос RTM используется с 2016 года, он специально создан для атак на корпоративных пользователей, имеет возможность атаковать бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО).

Зловред сначала вычисляет учетные данные пользователя, а затем скачивает и запускает средства удалённого управления. Это открывает возможность для создания платежного поручения и отправку его в ДБО.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp опять сдал назад: удаление аккаунтов после 15 мая откладывается

Facebook в очередной раз отступил от своих планов в отношении навязывания политики WhatsApp. Напомним, что пользователей мессенджера пытаются заставить принять новую политику, которая, по словам отдельных экспертов, увеличит количество собираемых пользовательских данных.

Ещё в январе руководство WhatsApp спасовало перед возмущением людей и отложило вступление в силу новых правил до 15 мая. Разработчики даже попытались реабилитироваться с помощью баннера, объясняющего новую политику.

И вот теперь, когда 15 мая всё ближе, WhatsApp до сих пор не решается принять радикальные меры. Как известно, изначально представители мессенджера обещали удалить аккаунты пользователей, не принявших новые правила, но теперь эти меры решили заменить простым напоминанием.

Стоит отметить, что после вступления в силу обновлённой политики WhatsApp сможет делиться большим количеством данных с Instagram, Messenger и т. п. В результате «циркулировать» между этими смежными сервисами Facebook будут контакты пользователей, информация о профиле и похожие сведения. При этом подчёркивается, что содержимое сообщений останется нетронутым, поскольку оно зашифровано.

«Ни один из пользователей не лишится своего аккаунта 15 мая. Также сохранится вся функциональность мессенджера. Мы продолжим напоминать людям о новых правилах, чтобы они ознакомились с изменениями и приняли их», — говорится на официальном сайте.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru