События года
Рубрика: Экономика

06.12.2018 10:14

Group-IB зафиксировала новую кибератаку на российские банки

 Фото: depositphotos.com  Фото: depositphotos.com
Фото: depositphotos.com

По российским финансовым учреждениям и компаниям прошла массовая вредоносная рассылка с фейковых адресов российских государственных учреждений. Об этом говорится в поступившем в "РГ" релизе Group-IB, международной компании, специализирующейся на предотвращении кибератак.

В 11 тысячах отправленных писем содержался троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. По данным Group-IB, одно успешное хищение такого типа приносит злоумышленникам более миллиона рублей. Вредоносные рассылки продолжаются и сейчас, констатируют в компании.

Отправители писем выдают себя за региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Минтруда, УФСИН, прокуратуры, судов и других госучреждений. Фальшивые письма, не имеющие к деятельности реальных государственных и муниципальных организаций никакого отношения, были замаскированы под служебные документы, например, "Оплата август-сентябрь", "Копии документов", "Служебная записка", "Отправка на четверг", и так далее, отмечают в Group-IB. Темы писем и адреса отправителей постоянно меняются.

Вредоносные вложения в письма представляют собой архив с исполняемым файлом, причем распакованные файлы содержат фейковые иконки "PDF". Заражение компьютера происходит после запуска извлеченного из архива файла. Модули трояна собирают информацию о компьютере, об установленных банковских и бухгалтерских приложениях, считывают нажатия клавиатуры, делают снимки экрана, подменяют платежные реквизиты, записи базы доменных имен и сертификаты безопасности, рассказывают в Group-IB. Троян узнает логин и пароль пользователя, скачивает и запускает средства удаленного управления компьютером, после чего либо создается платежное поручение и отправляется в систему ДБО через удаленное управление на зараженном компьютере, либо похищаются аутентификационные данные и секретный ключ, используемые в системе ДБО, а отправка поручения происходит с компьютера злоумышленника.

Ранее эксперты по кибербезопасности предупреждали, что атаки хакеров на российские банки могут усилиться перед новогодними праздниками из-за активизации трат населения. Так, в конце октября и середине ноября уже фиксировались атаки на российские банки через рассылки, копирующие стиль и оформление официальных рассылок Банка России.

Новости проекта