«Лаборатория Касперского» обнаружила новую целевую атаку на российские банки

Безопасность Стратегия безопасности Пользователю
мобильная версия
, Текст: Полина Осокина

Эксперты «Лаборатории Касперского» обнаружили новую целевую атаку на финансовые организации России, Армении и Малайзии. Первая волна атак началась в июле 2017 года, а новые осуществляются и сейчас. За свою незаметность и скрытность атака получила название Silence («Тишина»).

Злоумышленники пользуются известной, но по-прежнему очень эффективной техникой. Заражение происходит через целевые фишинговые письма с вредоносными вложениями. Например, атакующие используют инфраструктуру уже зараженных учреждений и отправляют сообщения от имени настоящих сотрудников. Таким образом они практически не вызывали подозрений. Часто текст выглядит как стандартный запрос на открытие счета.

Фишинговое письмо выглядит как обычный запрос на открытие счета

Письма содержат вредоносные вложения в формате .chm – файлы со встроенными скриптами запускают целую цепочку событий. В результате простого открытия вложения компьютер оказывается заражен сразу несколькими модулями троянца, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. При этом все модули запускаются, маскируясь под службы Windows. Например, один из главных, который делает скриншоты экрана зараженного компьютера, идентифицируется как служба Default monitor. Проникнув в корпоративную сеть, мошенники получают возможность изучать инфраструктуру банка, а также следить за сотрудниками: например, с помощью записи видео с экрана монитора во время ежедневной рабочей активности. Таким образом злоумышленники выясняют, как все устроено в конкретной организации. После изучения и анализа данных киберпреступники осуществляют кражу или перевод денег.

«Атаки на банки и финансовые организации — один из самых эффективных способов обогащения для киберпреступников. То, что атака Silence была зафиксирована уже в нескольких странах, говорит о растущей активности группы. При этом злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию. Такие техники в последнее время все чаще используются киберпреступниками, это очень тревожная тенденция: судя по всему, они будут активно применяться и в будущем», — сказал Сергей Ложкин, старший антивирусный эксперт «Лаборатории Касперского».

Для эффективной защиты от целевых атак необходим комплекс мер с использованием технологий нового поколения для обнаружения аномалий. Пример подобного решения — платформа Kaspersky Anti Targeted Attack(KATA). Она собирает информацию обо всех событиях в сети, находит аномалии и объединяет их в инциденты. При этом все подозрительные файлы проходят проверку в безопасной среде — так называемой «песочнице». А чтобы ликвидировать бреши в инфраструктуре, которыми могут воспользоваться злоумышленники, эффективно проведение тестов на проникновение и анализ защищенности приложений.