Новые атаки на кредитные организации и энергетическую отрасль имеют весьма необычный характер — схема проникновения в инфраструктуру организации разложена на целых четыре этапа, что позволяет атакующим скрыть свою активность от антивирусов и песочниц.
Всё начинается со стандартного метода — фишинга. Вредоносные письма отправляются сотрудникам банков и энергетических компаний. Отправитель, как правило, представляется работником другой организации той же отрасли.
Письма содержат вредоносные документы, открыв которые пользователь активирует исполняемый файл, обращающийся к pastebin.com (популярный хостинг для проектов с открытым исходным кодом).
Затем в дело вступает размещённый на pastebin.com код, который пытается скачать файл-изображение с другого популярного сервиса — imgur.com. На этом этапе злоумышленники используют стеганографию, встраивая вредоносную программу в скачиваемое изображение.
Выполняя свою часть работы, вредонос собирает как можно больше данных жертвы, после чего отправляет всю добытую информацию на сервер киберпреступников. Последние анализируют данные и принимают дальнейшее решение — если жертва их заинтересует, атакующие могут загрузить на её компьютер дополнительные вредоносные программы.
Попав в систему кредитной организации, злоумышленники пытаются вывести денежные средства; если же жертвой стала организация энергетической отрасли, преступники пытаются вести коммерческий шпионаж.
Как пояснили эксперты центра расследования киберинцидентов JSOC CERT, атакующие могут также заработать за счёт продажи другим преступникам точек присутствия в инфраструктуре организаций.
По статистике «Ростелеком-Солар», 80% данных атак были нацелены на банки, оставшиеся 20% достались энергетической сфере. Игорь Залевский, руководитель JSOC CERT, отметил, что операция напоминает вредоносную активность русскоязычной группировки Silence.