Группировка Cobalt использует в атаках на банки новый зловред под названием SpicyOmelette («острый омлет»). Программа эффективно обманывает защитные системы Windows и помогает преступникам закрепиться на компьютерах своих жертв.

Информация о вредоносе поступила от экспертов Secureworks Counter Threat Unit (CTU) — они уже несколько месяцев отслеживают действия Cobalt. Специалисты описывают SpicyOmelette как многофункциональное средство для удаленного контроля, сбора системной информации о пользовательской машине и установки дополнительного вредоносного ПО.

Первоначальное заражение происходит через спам-рассылку, ориентированную на банковских служащих. Вредоносный JavaScript-файл маскируется под PDF-вложение, однако при открытии перебрасывает пользователя на подконтрольный злоумышленникам облачный сервер Amazon.

С этой страницы на компьютер загружается SpicyOmelette. Эксперты отмечают, что взломщики подписали ПО действующим цифровым сертификатом. Это позволяет зловреду обойти встроенные в Windows проверочные механизмы и выполнить сторонний код. Еще одна функция программы сканирует компьютер на присутствие 29 разных антивирусов.

Через SpicyOmelette преступники получают возможность выполнять практически неограниченный набор действий на устройстве жертвы. По словам специалистов, в первую очередь их интересуют учетные данные для доступа к банковским системам, которые обеспечивают проведение финансовых транзакций. Кроме того, зловред позволяет скомпрометировать платежные гейтвеи и банкоматы.

Авторы отчета предупреждают, что в перспективе можно ждать дальнейшего развития инструментария Cobalt.

«Благодаря глубокому пониманию финансовых систем и накопленному опыту успешных кампаний эта группировка представляет собой серьезную угрозу», — заключают эксперты.

На счету Cobalt — ограбления крупнейших в Европе финансовых учреждений, которые понесли ущерб на общую сумму более миллиарда евро. Даже после того как полицейские обезглавили их организацию, преступники быстро вернулись в строй. Уже в конце мая эксперты сообщили о новых атаках, в которых прослеживался почерк группировки. В конце августа очередными мишенями злоумышленников оказались российский банк «Национальный стандарт» и румынский Banca Comercială Carpatica.

Категории: Вредоносные программы, Хакеры