Киберпреступники атакуют бухгалтеров и юристов

Олеся Афанасьева 04 Апреля 2023 - 12:59

Домашние пользователи

...

Скачать бланк и получить шпиона на компьютер. Злоумышленники активизировали атаки на счета компаний через бухгалтерские и юридические сайты. Троян удаленного доступа следит за пользователем и похищает деньги.

Сценарий атаки напоминает почерк преступных групп, использовавших банковский троян Buhtrap, предупреждают эксперты Group-IB.

«Специалисты Group-IB Threat Intelligence обнаружили новые ресурсы, которые преступники используют для атак на российских бухгалтеров, юристов и директоров», – говорится в сообщении компании.

Заражение происходило в момент скачивания с профильного сайта шаблонов документов. Вместо бланков на компьютер попадает ZIP-архив, содержащий EXE-файл с именем, повторяющим название документа (пример - Document 139-3К.exe).

В итоге пользователь загружает троян удаленного доступа, который позволяет следить за жертвой и похищать деньги.

Активность группы Buhtrap фиксировали и в предыдущие годы. Массовые нападки на счета компаний через бухгалтерские сайты вызывали беспокойство в 2017 году. А в 2015 году эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российские банки. Потери российского бизнеса тогда оценили в 2 млрд руб.

Глобальный ущерб от Buhtrap за все годы его активности может достигать 6-7 млрд рублей.

За “волнами” Buhtrap наблюдают примерно с 2014 года: тогда исходные коды были опубликованы в открытом доступе, что спровоцировало волну атак через систему клиент-банк, подчеркивают эксперты Group-IB. Количество успешных атак с использованием этого зловреда то растет, то падает.

«Таргетированные атаки с настройкой под интересы пользователя – уже не новый подход», — комментирует новость эксперт компании «Газинформсервис» Григорий Ковшов. Интернет-ресурсы «по интересам» все активнее попадают в поле зрения хакеров.

Это значит, что технология с фейковыми электронными письмами и СМС-сообщениями с вредоносами становится менее эффективной, объясняет эксперт.

«Полагаю, что в ближайшее время атаки через сторонние сайты с полезной информацией будут набирать обороты и хакеры начнут вовлекать представителей и других профессий», — предупреждает Ковшов.

Добавим, накануне стало известно о возвращении в Россию другой опасной группировки. Речь о шпионах XDSpy. Очередная фаза активности рассылки фишинговых писем с вредоносными вложениями пришлась на середину марта. Основная цель хакеров – российский государственный сектор.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Июня 2026 - 14:43

Android Трояны Домашние пользователи

Новый Android-троян крадёт данные из 180 банковских и криптосервисов

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили новую масштабную кампанию по распространению Android-трояна, нацеленного на кражу банковских данных и учётных записей криптовалютных сервисов. Вредоносная программа уже атакует пользователей как минимум в десяти странах и маскируется под популярные приложения, включая TikTok.

Атака начинается с поддельных ссылок на загрузку приложений. После установки дроппер показывает пользователю убедительное уведомление об обновлении Google Play и пошаговую инструкцию по выдаче необходимых разрешений.

Под видом компонента «Google Play Services» вредоносная программа получает доступ к службе специальных возможностей Android (Accessibility Service), что позволяет ей закрепиться в системе и получить расширенный контроль над устройством.

Троян постоянно отслеживает, какие приложения запускает пользователь, и сверяет их со встроенным списком целей. В этот список входят более 180 банковских, финансовых и криптовалютных приложений. Когда жертва открывает одно из них, поверх легального интерфейса появляется фишинговая форма, визуально практически неотличимая от настоящей страницы входа.

Пользователь вводит логин, пароль или код подтверждения, даже не подозревая, что данные отправляются злоумышленникам.

Возможности трояна этим не ограничиваются. Исследователи обнаружили поддержку более 30 удалённых команд. Операторы могут управлять буфером обмена, имитировать нажатия на экран, показывать поддельные уведомления и выполнять другие действия на заражённом устройстве.

Отдельную угрозу представляет функция потоковой передачи изображения с экрана. Используя штатный API Android MediaProjection, вредоносная программа непрерывно захватывает экран устройства и отправляет снимки на сервер злоумышленников в формате JPEG. Это позволяет практически в реальном времени наблюдать за финансовыми операциями жертвы и перехватывать одноразовые коды подтверждения.

Инфраструктура управления трояном разделена на несколько каналов связи. Один порт используется для команд операторов, второй — для телеметрии заражённого устройства, третий — для передачи видеопотока с экрана.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!