Group-IB зафиксировала атаки хакеров RedCurl на российский ритейл

Татьяна Никитина 18 Ноября 2021 - 19:10

Малый и средний бизнес

Таргетированные атаки

...

Group-IB зафиксировала атаки хакеров RedCurl на российский ритейл

После долгого перерыва русскоязычная хакерская группировка RedCurl вновь заявила о себе. В этом году наблюдатели из Group-IB отнесли на счет этой ОПГ четыре атаки, в том числе две на ритейлера, входящего в ТОП-20 крупнейших интернет-магазинов России.

Хакеры RedCurl, по данным GIB, действуют в интернете с 2018 года, занимаясь коммерческим шпионажем и кражей корпоративной документации у компаний разного профиля. На счету группировки уже 30 атак, проведенных в разных странах.

Разбор новых атак RedCurl показал, что за полгода молчания хакеры усовершенствовали свой инструментарий и слегка изменили тактику. Эта ОПГ, по словам экспертов, отличается от прочих тем, что не использует классические инструменты постэксплуатации (CobaltStrike, Meterpreter) и расхожие средства удаленного контроля.

«Атакующие показывают глубокие навыки проведения тестов на проникновение, а также разработки вредоносного ПО, способного обходить классические антивирусные средства защиты, — комментирует Иван Писарев, руководитель отдела динамического анализа вредоносного кода в Group-IB. — А значит, все большее количество компаний будут попадать в список жертв группы, проводящей таргетированные атаки с целью кражи внутренних документов компаний».

Перед атакой RedCurl тщательно изучает намеченную жертву, а затем рассылает вредоносные письма на адреса сотрудников компании от имени HR-отдела. В этом году злоумышленники пошли еще дальше: одна из рассылок для российского ритейлера использовала имя известного госучреждения; в качестве темы было указано «возбуждение исполнительного производства».

После успешного заражения хакеры начинают собирать доступную информацию — системные данные, IP-адрес, списки паролей, сетевых и логических дисков. Примечательно, что перед сохранением находок в файл на внешнем сервере все время корректируется с учетом часового пояса города Минск (UTC+3).

Группировку RedCurl отличает также отказ от популярных способов монетизации доступа к чужим сетям. Она не шифрует файлы, не выводит деньги со счетов, не требует выкуп за украденные данные. Эксперты полагают, что эти хакеры получают вознаграждение из других источников — скорее всего, работают по заказу.

Проникнув в сеть, взломщики стараются вести себя как можно незаметнее, поэтому пребывают там от двух месяцев до полугода. Их прежде всего интересуют деловые письма, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация.

Полнотекстовая версия отчета о новых атаках RedCurl доступна на сайте GIB (требуется регистрация).

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 09:14

Android Трояны Домашние пользователи

Фейковое обновление банка с GitHub оказалось Android-трояном NFCShare

Киберпреступники нашли новый способ воровать данные банковских карт владельцев Android-смартфонов, и для этого им даже не нужно устанавливать вредонос из сомнительного магазина приложений. Новые версии трояна NFCShare распространяются под видом обновлений банковских приложений на GitHub.

О вредоносной кампании сообщили исследователи компании D3Lab. По их данным, злоумышленники создают фишинговые сайты, маскирующиеся под страницы банков.

После ввода логина и пароля жертве предлагают обновить банковское приложение, скачав APK-файл из репозитория на GitHub. После установки троян показывает пользователю фальшивую страницу проверки безопасности и просит приложить банковскую карту к смартфону.

Используя NFC-модуль устройства, NFCShare считывает данные карты: номер, тип, срок действия и даже ПИН-код, который жертва вводит якобы для подтверждения операции.

Полученная информация отправляется на сервер злоумышленников через WebSocket-соединение. В дальнейшем её можно использовать в схемах, когда преступники проводят платежи удалённо, фактически используя чужую карту на расстоянии.

По данным исследователей, нынешняя кампания стартовала в середине мая. Среди подделываемых приложений фигурируют CaixaBank, Nexi, Banca Sella, Fideuram и другие финансовые организации. Ранее вредонос атаковал только клиентов Deutsche Bank в Германии, однако теперь география заметно расширилась.

Разработчики трояна продолжают совершенствовать свои инструменты. В новых версиях NFCShare появилась дополнительная защита от анализа. APK-файлы специально упаковываются с повреждённой структурой каталогов, что может вызывать ошибки у некоторых автоматических средств исследования зловредов.

Впрочем, исследователи отмечают, что такая уловка не делает вредонос неуязвимым для анализа, а лишь усложняет работу отдельных инструментов.

Эксперты рекомендуют устанавливать банковские приложения только из официального магазина Google Play, не скачивать APK-файлы по ссылкам из СМС и писем, а также крайне осторожно относиться к любым просьбам приложить банковскую карту к смартфону для проверки или подтверждения безопасности.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!