Обнаружены новые образцы вредоносного ПО, с помощью которого кибер-группировка Carbanak осуществляет целевые атаки на финансовые учреждения и их клиентов. Carbanak специализируется на компрометации крупных организаций, в числе жертв – банки и Forex-трейдеры из России, США, Германии, Объединенных Арабских Эмиратов, Великобритании и некоторых других стран. Группировка Carbanak не ограничивается одним семейством вредоносных программ и сочетает несколько инструментов. Атакующие используют троян Win32/Spy.Agent.ORM (также известный как Win32/Toshliph), бэкдор Win32/Wemosis для кражи конфиденциальных данных карт с PoS-терминалов (PoS RAM Scraper backdoor), а также Win32/Spy.Sekur – хорошо известное вредоносное ПО, которое регулярно встречается в кибер-кампаниях Carbanak. Все эти вредоносные программы основаны на разных кодовых базах, однако содержат некоторые общие черты, например, подписи на основе одного цифрового сертификата на имя компании Blik. Кроме того, атакующие пополнили арсенал последними эксплойтами для таких уязвимостями удаленного выполнения произвольного программного кода через Microsoft Office (CVE-2015-1770 и CVE-2015-2426), которые размещались в утекших данных организации Hacking Team. Как правило, способом заражения выступает фишинговое сообщение с вредоносным вложением в виде RTF-файла инфицированным различными эксплойтами или файла в формате SCR. Антивирусные специалисты наблюдали, в частности, образцы фишинговой рассылки на русском языке, адресованные сотрудникам компаний по обработке электронных платежей. Среди названий вложенных вредоносных файлов из этих писем «АО «АЛЬФА-БАНК» ДОГОВОР.scr», «Перечень материалов для блокировки от 04.08.2015г.scr», «Postanovlene_ob_ustranenii_18.08.2015.pdf %много_пробелов% ..scr», «Правила Банка России от 06.08.2015.pdf %много_пробелов% .scr», prikaz-451.doc и др. Эксперты информационной безопасности рекомендуют внимательней относиться к входящей корреспонденции.
Источник