Группировка Watch Wolf создает фейковые сайты с программами-шпионами и выводит их на первые строчки поиска с помощью SEO-продвижения. Целевая аудитория – бухгалтерские конторы.
Зараженные сайты содержат ключевые слова, по которым чаще всего ищут информацию бухгалтеры. Затем киберпреступники покупают контекстную рекламу, ссылка на сайт появляется на первой странице поисковой выдачи. О таком сценарии предупредили в компании BI.ZONE.
Похитить средства пытаются члены кибергруппировки Watch Wolf. Но если раньше мошенники делали это за счет фишинговых рассылок, то сейчас — при помощи SEO-продвижения «заряженных» вирусами интернет-ресурсов.
Неделю назад уже сообщалось о похожем сценарии, нацеленном именно на бухгалтерские конторы. Почерк атак напоминал действия преступных групп, использовавших банковский троян Buhtrap.
Заражение происходит в момент скачивания с сайта шаблонов документов. Жертва загружает бланк не с самого ресурса, а с файлообменников популярных мессенджеров.
На компьютер попадает архив. Его открытие запускает установку шпиона. Он незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), устанавливает троянскую программу и в итоге выводит средства со счетов компании, предупредили в BI.ZONE.
Активность группы Buhtrap фиксировали и в предыдущие годы. Массовые нападки на счета компаний через бухгалтерские сайты вызывали беспокойство в 2017 году. А в 2015 году эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российские банки. Потери российского бизнеса тогда оценили в 2 млрд руб.
