Эксперты вскрыли новоиспеченные манеры вредоносного ПО, с поддержкой какого кибергруппировка осуществляет таргетированные атаки на финансовые учреждения. Carbanak специализируется на компрометации крупных организаций, в числе жертв – банки и Forex-трейдеры из России, США, Германии, Объединенных Арабских Эмиратов, Великобритании и кое-каких иных местностей. Группа Carbanak не ограничивается одним семейством вредоносных программ и сочетает несколько инструментов. Атакующие используют троян Win32/Spy.Agent.ORM(также знаменитый будто Win32/Toshliph), бэкдор Win32/Wemosis для кражи конфиденциальных настоящих карт с PoS-терминалов(PoS RAM Scraper backdoor), а также Win32/Spy.Sekur – важнецки знаменитое вредоносное ПО, какое регулярно встречается в киберкампаниях Carbanak.
Все эти вредоносные программы основаны на неодинаковых кодовых базах, однако включают кое-какие всеобщие черты, примерно, подписи на основе одного цифрового сертификата.
Кроме того, штурмующие пополнили арсенал заключительными эксплойтами для таковских уязвимостей Microsoft Office будто RCE CVE-2015-1770 и CVE-2015-2426, какой размещался в утекших настоящих кибергруппы Hacking Team
Вектором заражения может выступать фишинговое извещение с вредоносным вложением в облике RTF-файла с неодинаковыми эксплойтами или файла в формате SCR. Специалисты следили, в частности, манеры фишинговой рассылки на русском языке, направленные сотрудникам бражек по обработке электронных платежей, Forex-трейдеров и иных финансовых организаций.
Среди званий вложенных вредоносных файлов из этих посланий «АО «АЛЬФА-БАНК» ДОГОВОР.scr», «Перечень материалов для блокировки от 04.08.2015г.scr», «Postanovlene_ob_ustranenii_18.08.2015.pdf %много_пробелов%..scr», «Правила Банка России от 06.08.2015.pdf %много_пробелов%.scr», prikaz-451.doc и др.
Источник: ESET
