Сеть поддельных бухгалтерских сайтов заражет троянами российские банки. Каждая атака приносит больше миллиона

Сеть фальшивых сайтов В интернете обнаружена сеть фальшивых бухгалтерских сайтов, которые заражают пользователей-юрлиц банковскими троянами Buhtrap и RTM. О существовании сети узнала компания Group-IB, специализирующаяся на расследовании киберпреступлений. Как сообщает компания, жертвами заражения становились пользователи систем дистанционного банковского обслуживания, платежных систем и криптокошельков, в том числе финансовые директоры, юристы и бухгалтеры. Сеть состояла по крайней мере из пяти вредоносных сайтов, заполненных в качестве приманки одинаковым бухгалтерским контентом — бланками, контрактами, счетами и налоговыми документами. Это были buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и buh-doc[.]info. Три из них были запущены в апреле 2018 г., другие два были зарегистрированы в сентябре 2017 г. К услугам каждого сайта прибегло порядка 200 тыс. пользователей, сообщает Group-IB. Росту популярности вредоносных ресурсов способствовало то, что они появлялись среди первых результатов поиска по запросам «скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и т. п. Общее количество посетителей фальшивой сети пока не установлено, но речь идет о «сотнях тысяч» пользователей, считает Group-IB. Сейчас все сайты либо уже заблокированы, либо находятся в процессе блокировки, но компания не исключает, что их могло быть больше. В отчете Hi-Tech Crime Trends 2017 компания пишет, что каждая подобная атака в случае успеха приносит хакером до 1,2 млн руб. в день. Количество успешных атак этого типа компания оценивает около двух в день. Как была обнаружена сеть Сеть фальшивых сайтов была вскрыта после того, как специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) отследили загрузку вредоносной программы с сайта buh-docum[.]ru в одном из российских банков. В ходе анализа сайта они выяснили, что бухгалтерским контентом он был наполнен исключительно с целью привлечения внимания финансовых директоров, главных бухгалтеров, юристов и других лиц с правом доступа к управлению счетами организаций.

Сеть фальшивых банковских сайтов распространяла трояны для кражи денег из банков Когда пользователи скачивали с сайта какой-либо документ, с ним автоматически скачивалась и запускалась троянская программа, разработанная хакерской группой Buhtrap. Как поясняет Group-IB, код этой программы можно найти на хакерских форумах с 2016 г. Как работал троян Загрузчик сканировал компьютер жертвы, включая историю посещений в браузере, списки банковских и бухгалтерских приложений, а также сведения о платежных системах. Наибольший интерес у хакеров вызывали криптовалюты. Троян реагировал в общей сложности более чем на 400 ключевых поисковых запросов, в том числе на ibank, ibrs, iclient, ibc, elbrus, i-elba, uwagb, wwwbank, dbo, ib., beta.isx.is, bitcoin, blockchain, btc.com, exmo.com, kiwi-coin, koineks, kraken.com, poloniex, walletbit, 100btc.kiev.ua, 100btc.pro, 100monet.pro, 1exchanger.com, 1wm.kz и 24-exchange.com. Найдя на компьютере жертвы любую из этих комбинаций, загрузчик связывался с сервером, и тот закачивал на компьютер трояны Buhtrap или RTM, через которое можно красть средства из систем дистанционного банковского обслуживания и из платежных систем. Заражение Buhtrap происходит через уязвимость в браузере. Меры предупреждения По словам Ярослава Каргалева, заместителя руководителя CERT Group-IB, на сегодняшний день хакеры поменяли свои излюбленные тактики — вместо распространения рассылок и взлома популярных сайтов они создают тематические ресурсы, привлекающие пользователей определенной категории, и уже с этих ресурсов на компьютеры жертв закачиваются трояны. В качестве превентивных мер Group-IB рекомендует использование системы раннего предупреждения и детектирования атак, а также решений для анализа поведения файлов в «песочнице». Компьютеры, с которых возможен доступ к бухгалтерским и банковским системам, следует изолировать. Доступ к внешней сети необходимо разрешать только по белым спискам. Также рекомендуется своевременно обновлять ПО, обучать персонал основам информационной безопасности и устраивать учения по кибербезопасности не реже двух раз в год. Ссылка на источник