Россия: Троян Ratopak атакует сотрудников банков

0

Специалисты компании Symantec предупредили о фишинговой кампании, направленной на сотрудников российских банков. В ходе кампании злоумышленники распространяют троян Ratopak, позволяющий осуществлять различные действия, в том числе записывать нажатия клавиш, похищать информацию, а также загружать дополнительное вредоносное ПО.

По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 г. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве. Для усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru. Все подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), на самом деле содержащий троян Ratopak. Помимо прочего, вредонос проверяет основной язык системы, и если им является не русский или украинский, Ratopak прекращает работу.

Как отмечают исследователи, многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось ПО “СБиС”, и ссылки вида “buh.sbis.ru/buh/” не вызывали у сотрудников банков подозрений, чем и воспользовались злоумышленники. Ниже перечислены домены, используемые преступниками:

google997.com

microsoft775.com

newsbuh1c.net

buh.klerk.us

buhnews.com

football.championat.biz

forum.ru-tracker.net

icq.chatovod.info

rss.sport-express.biz

По словам специалистов, в настоящее время цель злоумышленников неясна, однако, вероятнее всего, они преследуют финансовую выгоду. (Symantec/NovostIT)