Сеть поддельных бухгалтерских сайтов заражет троянами российские банки. Каждая атака приносит больше миллиона

Безопасность Стратегия безопасности Интернет Веб-сервисы
мобильная версия
, Текст: Валерия Шмырова

Group-IB обнаружила в интернете сеть из пяти поддельных бухгалтерских ресурсов, откуда вместе с формами отчетности пользователи скачивали и трояны. Одна такая успешная атака приносит хакерам порядка 1,2 млн руб. в день. Каждым сайтом успело воспользоваться около 200 тыс. пользователей.


Сеть фальшивых сайтов

В интернете обнаружена сеть фальшивых бухгалтерских сайтов, которые заражают пользователей-юрлиц банковскими троянами Buhtrap и RTM. О существовании сети узнала компания Group-IB, специализирующаяся на расследовании киберпреступлений. Как сообщает компания, жертвами заражения становились пользователи систем дистанционного банковского обслуживания, платежных систем и криптокошельков, в том числе финансовые директоры, юристы и бухгалтеры.

В ответ на просьбу CNews назвать конкретные организации, пострадавшие от атаки, в Group-IB сообщили, что не могут раскрыть названия, но что от действий хакеров пострадал как минимум один российский банк, являющийся клиентом компании, и что в этом случае атаку удалось остановить на начальном этапе. Также атаке подверглось «довольно крупное и известное госучреждение», которое тоже является клиентом Group-IB.

Сеть состояла по крайней мере из пяти вредоносных сайтов, заполненных в качестве приманки одинаковым бухгалтерским контентом — бланками, контрактами, счетами и налоговыми документами. Это были buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и buh-doc[.]info. Три из них были запущены в апреле 2018 г., другие два были зарегистрированы в сентябре 2017 г. К услугам каждого сайта прибегло порядка 200 тыс. пользователей, сообщает Group-IB.

Росту популярности вредоносных ресурсов способствовало то, что они появлялись среди первых результатов поиска по запросам «скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и т. п. Общее количество посетителей фальшивой сети пока не установлено, но речь идет о «сотнях тысяч» пользователей, считает Group-IB. Сейчас четыре сайта из пяти уже заблокированы, но компания не исключает, что их могло быть больше.

В отчете Hi-Tech Crime Trends 2017 компания пишет, что каждая подобная атака в случае успеха приносит хакером до 1,2 млн руб. в день. Количество успешных атак этого типа компания оценивает около двух в день.

Как была обнаружена сеть

Сеть фальшивых сайтов была вскрыта после того, как специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) отследили загрузку вредоносной программы с сайта buh-docum[.]ru в упомянутом банке. В ходе анализа сайта они выяснили, что бухгалтерским контентом он был наполнен исключительно с целью привлечения внимания финансовых директоров, главных бухгалтеров, юристов и других лиц с правом доступа к управлению счетами организаций.

Сеть фальшивых банковских сайтов распространяла трояны для кражи денег из банков

Когда пользователи скачивали с сайта какой-либо документ, с ним автоматически скачивалась и запускалась троянская программа, разработанная хакерской группой Buhtrap. Как поясняет Group-IB, код этой программы можно найти на хакерских форумах с 2016 г.

Как работал троян

Загрузчик сканировал компьютер жертвы, включая историю посещений в браузере, списки банковских и бухгалтерских приложений, а также сведения о платежных системах. Наибольший интерес у хакеров вызывали криптовалюты. Троян реагировал в общей сложности более чем на 400 ключевых поисковых запросов, в том числе на ibank, ibrs, iclient, ibc, elbrus, i-elba, uwagb, wwwbank, dbo, ib., beta.isx.is, bitcoin, blockchain, btc.com, exmo.com, kiwi-coin, koineks, kraken.com, poloniex, walletbit, 100btc.kiev.ua, 100btc.pro, 100monet.pro, 1exchanger.com, 1wm.kz и 24-exchange.com.

Найдя на компьютере жертвы любую из этих комбинаций, загрузчик связывался с сервером, и тот закачивал на компьютер трояны Buhtrap или RTM, через которое можно красть средства из систем дистанционного банковского обслуживания и из платежных систем. Заражение Buhtrap происходит через уязвимость в браузере.

Меры предупреждения

По словам Ярослава Каргалева, заместителя руководителя CERT Group-IB, на сегодняшний день хакеры поменяли свои излюбленные тактики — вместо распространения рассылок и взлома популярных сайтов они создают тематические ресурсы, привлекающие пользователей определенной категории, и уже с этих ресурсов на компьютеры жертв закачиваются трояны.

В качестве превентивных мер Group-IB рекомендует использование системы раннего предупреждения и детектирования атак, а также решений для анализа поведения файлов в «песочнице». Компьютеры, с которых возможен доступ к бухгалтерским и банковским системам, следует изолировать. Доступ к внешней сети необходимо разрешать только по белым спискам. Также рекомендуется своевременно обновлять ПО, обучать персонал основам информационной безопасности и устраивать учения по кибербезопасности не реже двух раз в год.