Исландские граждане столкнулись с самой масштабной и изощренной кибератакой за историю страны. Целью злоумышленников стали учетные данные для доступа к финансовым счетам.

Преступники организовали фишинговую кампанию, отправив тысячи электронных писем якобы от лица исландской полиции. В тексте адресатов уведомляли о необходимости явиться на допрос и пугали арестом в случае неповиновения. За подробностями пользователей приглашали пройти по ссылке с URL, который был практически неотличим от реального адреса исландских правоохранителей.

На странице злоумышленники просили жертву ввести номер социального страхования (social security number, SSN) — он используется в Исландии для доступа к государственным и прочим сервисам.

Эксперты отмечают, что организаторы атаки могут каким-то образом проверить достоверность получаемых данных — если посетитель вводит недействительный номер, сайт выдает ошибку. Такая мера повышает уверенность жертвы, что она находится на сайте государственного ведомства.

Чтобы просмотреть обещанные материалы, пользователю необходимо ввести код аутентификации из полученного ранее письма. После этого ему приходит ссылка на архив, где якобы собраны следственные документы. На самом деле в файле содержится комплексный зловред, который открывает преступникам доступ к зараженному компьютеру.

Троян объединяет код сразу нескольких программ, включая легитимный продукт Remcos. Системные администраторы используют это ПО для удаленной настройки компьютеров. Преступники же с его помощью могут наблюдать за жертвой и проводить манипуляции с зараженной машиной. Другие вредоносные модули отвечают за кейлоггинг и кражу пользовательских данных из интернет-браузеров, а также обеспечивают автоматический запуск трояна при загрузке системы.

Полиция заблокировала домен с фишинговой страницей на следующий день после первых атак. На момент публикации число пострадавших остается неизвестным, однако правоохранительные органы говорят о тысячах потенциальных жертв.

ИБ-эксперты определили, что украденные у пользователей данные пересылаются на удаленные сервера в Германии и Нидерландах. Однако текст фишинговых писем и содержимое поддельного полицейского сайта, проверка SNN на корректность и прочие детали кампании позволяют следователям предположить, что ее организовали исландские граждане.

Эксперты рекомендуют всем столкнувшимся с подобными атаками отформатировать компьютер и поменять все пароли. Представитель разработчика Remcos сообщил журналистам, что компания помогает жертвам нелегитимного применения их продукта. При обнаружении нежелательных действий специалисты деактивируют лицензию преступника и удаляют программу с компьютеров пострадавших пользователей.

Категории: Мошенничество, Хакеры