За неделю хакеры Cobalt дважды целенаправленно атаковали пользователей

Analytics News
Редактор
7 июня 2018, 16:07

Cobalt – это группа хакеров, ярко проявивших себя во время резонансных случаев воровства из банковских организаций. В конце текущего месяца, 23 и 28 числа, ими были организованы целенаправленные атаки. Такую информацию «Интерфакс» получил от компании Group-IB – она занимается киберпреступлениями, в плане их предупреждения и расследования. По сообщению последней названной инстанции, Cobalt ориентировались на банки из РФ и СНГ, а также – на финансовые учреждения, располагающиеся за рубежом.

Первый процесс в динамике

Первая фишинговая рассылка состоялась после 12.00, 23.05.2018 г. – тогда распространение писем происходило от имени «Лаборатории Касперского» (фирма, выпускающая ПО, которое борется с вирусами). На хозяина домена, с которого производилась рассылка по почте, раньше были записаны и прочие интернет-адреса, использующиеся для атак группировки.

В письме на английском языке была написана жалоба в отношении того, что с пользовательского ПК будто бы была наблюдается активность, идущая вразрез с требованиями актуального закона. Жертва должна была на протяжении 2 суток в подробностях объяснить ситуацию. Чтобы прочесть текст жалобы, нужно было перейти по ссылке, прикрепленной к письму. Фиктивная команда «ЛК» грозила наложением санкций на веб-сайты юзера при условии, что ответ не будет получен в указанное время. Как только человек переходил по ссылке – включался в работу «троян», его мошенники задействуют уже с конца 2017 г.

Развитие событий во второй раз

Вторая атака была зафиксирована Group-IB в дневное время 28.05.2018 г. Этот случай отличался тем, что члены Cobalt разослали в банковские учреждения письма от имени ЕЦБ. В письме была ссылка на документ Word, где будто бы описывались связанные с финансами риски. Такой файл использует недоработку в Майкрософт Офис. С его помощью заражается ПК, и вредонос начинает укореняться в банковской системе.

«Интерфакс» получил информацию от пресс-службы регулятора, что ФинЦЕРТ российского центробанка каждый раз вовремя сообщал финансовым учреждениям о фишинговых рассылках.

В курсе ли «оригинальные» компании?

В «Лаборатории Касперского» осведомлены, что на минувшей неделе происходила фишинговая рассылка, инициаторы которой прикрывались именем известной компании. На данный момент заблокированы домены, с которых отправлялись письма, а вредоносное ПО − зафиксировано и заблокировано специальными антивирусами.

В пресс-службе «ЛК» говорят, что эксплуатация известного названия компании в похожих ситуациях – это практика, получившая широкое распространение. Часто бывает сложно отличить фальшивое письмо или сайт от настоящих из-за того, что используется аналогичный дизайн. Так пользователей умышленно обманывают.

Предположения и факты

Представители Group-IB высказывают мнение, что могли пострадать также зарубежные банки. Специалисты убеждены, что в произошедших в текущем месяце атаках злоумышленники Cobalt могли сотрудничать с группировкой Anunak (Carbanak). Европол сообщает, что вредителями был похищен 1 млрд евро. В марте был задержан глава группы. Кредитные учреждения РФ пострадали в 2017 г. от атак Cobalt на более чем 1 млрд рублей.

автор статьи
Analytics News

Портал основан в 2017 году опытными аналитиками и трейдерами специально для своих коллег, с целью предоставления максимально оперативной и наиболее качественной информации о текущей ситуации на финансовых рынках.

Комментарии

Написать комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Пока нет комментариев к этой статье.

Вверх