Группировка Silence провела масштабную атаку на российский финансовый сектор, для прикрытия воспользовавшись деловой повесткой. Письмо с опасным зловредом, замаскированное под приглашение на предстоящий в феврале форум iFin-2019, получили десятки тысяч сотрудников банков и крупных платежных систем.

Первые зараженные сообщения были зафиксированы 16 января, через несколько часов после рассылки официального приглашения на форум. По мнению аналитиков из компании Group-IB, обнаруживших атаку, в своих письмах злоумышленники использовали отредактированную версию реального анонса, в которой получателей просили заполнить приложенную анкету. За это пользователям обещали бесплатные пригласительные билеты и размещение названия их банка на сайте форума.

Помимо этой рассылки в рамках январской кампании специалисты Group-IB обнаружили еще две — от имени несуществующих банков «Банк ICA» и «Банкуралпром». В тексте содержалась просьба оперативно открыть корреспондентский счет, во вложении якобы находился договор.

Во всех случаях при открытии прикрепленного ZIP-архива на компьютер жертвы загружался троян Silence, он же TrueBot. При помощи этого зловреда преступники закрепляются в зараженной системе и мониторят работу организации. Собрав необходимую информацию, они крадут средства со счетов банка. TrueBot ранее фигурировал исключительно в атаках группировки Silence. Это позволило экспертам сразу определить организатора кампании.

Злоумышленники использовали в своих письмах реальное приглашение на форум и правдоподобный запрос на открытие корреспондентского счета. По мнению аналитиков, это говорит о том, что участники Silence имеют прямое отношение к финансовым компаниям.

Ранее, незадолго до Нового Года, злоумышленники провели атаки от лица реально существующей фармацевтической компании. Преступники продемонстрировали глубокое знание устройства этой организации, в письмах сообщалось множество деталей. Чтобы повысить вероятность успеха, мошенники торопили жертв с принятием решения.

В своем комментарии журналистам РБК ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов сравнил Silence с другой известной APT-группировкой — Carbanak. В 2017 году эти преступники украли у российских банков почти 1,2 млрд руб.

Эксперт отметил высокую подготовку обоих сообществ, но подчеркнул, что в последнее время растущий уровень кибербезопасности в российской финансовой отрасли делает такие атаки менее результативными.

Категории: Вредоносные программы, Хакеры