Компания Group-IB обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами. Киберпреступники атаковали юридических лиц с целью получить доступ к их файлам и системам.
По данным экспертов, жертвами трёх опасных ресурсов стали по меньшей мере 200 тысяч человек. Среди них — финансовые директора, юристы, бухгалтеры и другие специалисты. Сеть удалось выявить благодаря попытке загрузки вредоноса в одном из российских банков: его хотели загрузить с профильного бухгалтерского ресурса buh-docum[.]ru.
Злоумышленники замаскировали его под профильный сайт с множеством финансовых документов. Скачивая любой из них, пользователь также загружал троян. Он собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платёжных и криптовалютных системах.
Братья-близнецы
Поиск в компьютере вёлся с помощью так называемых ключевиков (ключевых поисковых запросов). После обнаружения одного из них загружались специальные трояны для юрлиц Buhtrap или RTM. Они были нацелены на кражу денег в системах дистанционного банковского обслуживания и из различных платёжных систем.
Group-IB изучила вредоносный ресурс и обнаружила ещё несколько сайтов с идентичным контентом: buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и nbsp;buh-doc[.]info. Два домена появились почти год назад, остальные проработали в течение нескольких месяцев. Посетители привлекались на ресурсы благодаря поисковой выдаче: они регулярно появлялись в топе по соответствующим запросам.
Как отмечают эксперты, ежедневно как минимум происходят по две успешные атаки, каждая из которых в среднем приносит хакерам до 1,2 млн рублей. Большая часть фальшивых ресурсов уже заблокирована либо находится в процессе блокировки. На данный момент как минимум один ресурс продолжает работу.
Ранее News.ru рассказал, как Group-IB успешно обнаружила ответственных за атаку на ПИР Банк.
