Мобильное приложение журнала
Google Play Apple Store
курс цб на 21.05: USD 64.4888 EUR 71.9631
криптовалют: BTC 8005$ ETH 252.2$
246 просмотров

Троян Ratopak атакует сотрудников российских банков

По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 года. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве. Для усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru. Все подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), на самом деле содержащий троян Ratopak.

Помимо прочего, вредонос проверяет основной язык системы, и если им является не русский или украинский, Ratopak прекращает работу.

Как отмечают исследователи, многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось ПО «СБиС», и ссылки вида «buh.sbis.ru/buh/» не вызывали у сотрудников банков подозрений, чем и воспользовались злоумышленники. Ниже перечислены домены, используемые преступниками:

  • google997.com

  • microsoft775.com

  • newsbuh1c.net

  • buh.klerk.us

  • buhnews.com

  • football.championat.biz

  • forum.ru-tracker.net

  • icq.chatovod.info

  • rss.sport-express.biz

По словам специалистов, в настоящее время цель злоумышленников неясна, однако, вероятнее всего, они преследуют финансовую выгоду.

По материалам SecurityLab 


Перейти к началу страницы