Фишеры резко увеличили число атак на российские банки

Фишеры резко увеличили число атак на российские банки

Российские кредитные организации бьют тревогу: число фишинговых атак на почтовые ящики сотрудников в последнее время заметно выросло. Пока представители банков не спешат связывать поток вредоносных писем со второй волной распространения коронавирусной инфекции COVID-19.

Например, в Росбанке отметили, что темы фишинговых рассылок используют несколько другие сценарии, подчеркнув, однако, что злоумышленники могут быстро перейти на тему SARS-CoV-2 при введении новых ограничительных мер.

Руководство «Абсолют банка» отметило, что число мошеннических писем увеличилось приблизительно вдвое. Спад пока не наблюдается, заявил управляющий директор Олег Кусеров.

«На сегодняшний день нельзя однозначно сказать, что вторая волна коронавируса стала причиной роста числа фишинговых атак. Скорее это связано с общими тенденциями в мире информационных технологий», — сообщил «РИА Новости» Илья Сулоев, директор департамента информационной безопасности банка «ФК Открытие».

Месяц назад мы рассказывали о кампаниях киберпреступной группы OldGremlin, атаковавшей крупные российские организации и банки вопреки негласному запрету.

Также в сентябре исследователи обратили внимание на фишинговые рассылки, нацеленные на клиентов российских банков. В письмах злоумышленники использовали логотипы кредитных организаций.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кряки популярных программ используются для кражи Monero и вывода данных

Исследователи из Bitdefender выявили серию атак, нацеленных на кражу данных, а также криптовалюты из кошельков Monero. Как оказалось, злоумышленники с этой целью уже три года распространяют вредоносную программу под видом пиратских копий популярных офисных инструментов и редакторов изображений.

При запуске фальшивый кряк работает как дроппер — загружает в систему экземпляр легитимной утилиты ncat.exe и прокси-сервер Tor, а также командный файл для Netcat. Все файлы помещаются в служебную папку SysWOW64 и в совокупности обеспечивают автору атаки бэкдор, позволяющий совершать различные действия на зараженной машине с помощью команд, подаваемых из сети Tor.

Тестирование вредоноса выявило следующие возможности:

  • отправка локальных файлов через Tor на указанный сервер; 
  • запуск клиента BitTorrent (видимо, для вывода краденых данных);
  • отключение файрвола перед отправкой добычи;
  • кража информации из браузера (история, сохраненные пароли, сеансовые куки) и формирование архивного файла с помощью 7-Zip для пересылки;
  • кража Monero из криптокошелька с использованием консольного клиента monero-wallet-cli.exe.

Поиск onion-домена командного сервера осуществляется циклическим перебором портов с 8000 по 9000. Для обмена данными организуется сокет-соединение. Чтобы обеспечить зловреду постоянное присутствие, в системе создаются специальный сервис и запланированное задание на запуск каждые 45 минут.

Исследование также показало, что управление бэкдором осуществляется, скорее всего, в интерактивном режиме, а не автоматизированными методами.

Наибольшее количество заражений обнаружено в США и Индии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru