ЦБ предупредил банки о новой угрозе
В сообщении ФинЦЕРТ говорится о фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe. Об этом сообщает "Коммерсантъ" со ссылкой на участников рынка.
«Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence,— подтвердили информацию в ЦБ.— 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения».
«Специфика данного вредоносного вложения более чем сходна с теми, что использует Silence,— отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.— Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно».
Он добавил, что Silence присылает файлы с расширением .chm, запуск вредоносного вложения выполняется без использования уязвимости, через стандартный функционал Windows.
«Злоумышленники используют инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации,— говорит старший антивирусный аналитик "Лаборатории Касперского" Сергей Ложкин.— Часто текст фишингового письма выглядит как стандартный запрос на открытие корреспондентского счета».
Эксперты подчеркивают, что ранее официальных заявлений о «жертвах» Silence не было, однако именно эта группировка могла совершить часть атак, которые приписывают Cobalt.
«ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена»,— отметили в Банке России.
В ЦБ добавили, что у всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели. Поэтому для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.
По материалам "Коммерсанта"