НОВОСТИ
30.04.2019 15:04
Сообщается о кибератаке на российские компании
Международная антивирусная компания ESET сообщила о кибератаке, нацеленной на российские компании - в частности, на их финансовые и юридические подразделения. Под видом деловой документации жертвы скачивали шифраторы и банковские трояны на сайте, который продвигался через размещенные злоумышленниками рекламные баннеры.
Потенциальная жертва искала образцы деловых документов или обучающие видео по ключевым словам - например, "скачать бланк счета", "бланк договора", "заявление жалоба образец", "судебное ходатайство образец". Через баннерную рекламу киберпреступников жертва попадала на сайт, который якобы содержал шаблоны искомых документов. Запуск файлов, загруженных с этого сайта, мог привести к заражению системы - или целой корпоративной сети - шифраторами и банковскими троянами.
На сайт пользователь попадал через легитимные порталы, включая специализированные бухгалтерские и юридические сайты. Используя платформу "Яндекс.Директ", злоумышленники размещали на них рекламные баннеры.
Удалось обнаружить ряд опасных киберугроз, которые распространялись таким образом. Все вредоносные файлы размещались в двух разных репозиториях GitHub, веб-сервиса для хостинга и совместной разработки ИТ-проектов.
Находились следы банковского трояна Android/Spy.Banker. Его вредоносный функционал весьма обширен: предоставление доступа к микрофону, перехват введенного с клавиатуры текста, отправка спама, шифрование файлов с требованием выкупа, создание скриншотов экрана.
В марте по аналогичной схеме распространялся банковский троян Win32/RTM - он нацелен на системы дистанционного банковского обслуживания. ESET подробно описала его в 2017 г. С тех пор ключевых изменений троян не претерпел.
Через рекламные объявления распространялась и программа-вымогатель Win32/Filecoder.Buhtrap, нацеленная на бухгалтеров и юристов. После запуска этой киберугрозы файлы на локальных дисках и сетевых ресурсах шифровались закрытыми ключами, уникальными для каждого шифруемого файла. Затем пользователь получал сообщение с требованием заплатить выкуп; средством связи с вымогателями выступали электронная почта или мессенджер Bitmessage.
ESET оперативно связалась с "Яндексом", рекламные баннеры киберпреступников были заблокированы.