RSS канал
Внутри архива действительно содержалось приглашение на банковский форум, но вместе с ним был помещено вредоносное вложение Silence.Downloader aka TrueBot.
Злоумышленники разослали фишинговые письма 80 тысячам служащих разных финансовых компаний 16 января.
15 ноября 2014 года хакеры из группы Silence разослали русским банкам письма с вредным программным обеспечением от имени Центрального банка РФ.
Полную картину о масштабе и эффекте от атаки установить затруднительно, так как вначале фишинговую рассылку поймала система Group-IB, в которой подключены банки-клиенты компании. Они обращались в настоящие русские банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их компаний.
В первый раз Silence зафиксировали в 2016-ом. Во вложении содержался архив с контрактом, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.
Как продемонстрировал анализ текста письма, хакеры Silence не застрахованы от ошибок: в письме от имени ЗАО «Банкуралпром» в подписи числится другой несуществующий банк — ЗАО «БанкЮКО». Проверка по указанным адресам (Челябинская обл., г. Магнитогорск, ул. Гагарина, д. 17 и д. 25) показала, что тут расположены кабинет другой кредитно-финансовой организации и дом.
«Технически схема внедрения правонарушителей в инфраструктуру жертвы напоминает схему атак Carbanak — вредоносная рассылка дает возможность закрепиться на компьютерах служащих банка либо другого финансового заведения, следить за его работой и через какое-то время — вывести деньги». На этот раз применялась новая схема с применением социальной инженерии. Тогда они просили помощи в открытии финансового счета. Они тщательно подготовили эту атаку: в переписке основательно описывались структура компании и особенности зарплатных проектов. Более того, в письмо был вложен «дизайн-макет», чтобы сделать брендированные банковские карты для персонала. — Об индикаторах атаки, а еще методах защиты были оперативно оповещены все клиенты Group-IB. Данный инструмент, отмечают в Group-IB, используют только хакеры этой группировки. От также добавил, что на текущий момент Silence входит в число более рискованных русских группировок наряду с Cobalt и MoneyTaker.
Получателями рассылки от 15 ноября стали как минимум 52 банков в Российской Федерации и по меньшей мере 5 банков за рубежом. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. В письме с заголовком «Информация центрального банка Российской Федерации» предлагалось ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и мгновенно приступить к исполнению «приказа». Во вложении к письму содержался договор. Группировке удалось похитить 52 млн руб. только из русских банков.