Специалисты компании Symantec предупредили о фишинговой кампании, направленной на сотрудников российских банков. В ходе кампании злоумышленники распространяют троян Ratopak, позволяющий осуществлять различные действия, в том числе записывать нажатия клавиш, похищать информацию, а также загружать дополнительное вредоносное ПО.
По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 г. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве. Для усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru. Все подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), на самом деле содержащий троян Ratopak. Помимо прочего, вредонос проверяет основной язык системы, и если им является не русский или украинский, Ratopak прекращает работу.
Как отмечают исследователи, многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось ПО “СБиС”, и ссылки вида “buh.sbis.ru/buh/” не вызывали у сотрудников банков подозрений, чем и воспользовались злоумышленники. Ниже перечислены домены, используемые преступниками:
google997.com
microsoft775.com
newsbuh1c.net
buh.klerk.us
buhnews.com
football.championat.biz
forum.ru-tracker.net
icq.chatovod.info
rss.sport-express.biz
По словам специалистов, в настоящее время цель злоумышленников неясна, однако, вероятнее всего, они преследуют финансовую выгоду. (Symantec/NovostIT)