IBM обнаружила группировку киберпреступников, похитивших более $1 млн у американских корпораций

Компания IBM обнаружила международную киберпреступную группировку, похитившую у корпоративных жертв более $1 млн. Она получила название Dyre Wolf в честь используемого злоумышленниками вредоносного ПО Dyre. Об этом сообщается в официальном блоге отдела безопасности IBM Security Intelligence.

Чаще всего злоумышленники использовали фишинговые сообщения с вредоносными вложениями. Открыв их, жертвы заражали свои ПК вредоносным ПО Upatre. Оно, в свою очередь, загружало на систему Dyre, после чего самоуничтожалось.

«После загрузки Dyre Upatre удалялся, поскольку широкая функциональность последнего позволяет обойтись без Upatre, - сообщается в отчете IBM. – Эта кампания полагается, прежде всего, на хищение паролей с помощью Dyre и осуществление денежных переводов со счета жертвы. Как и в случае с Upatre, Dyre разработано с упором на сложность обнаружения. Это помогает незаметно распространить вредоносное ПО среди большого числа систем».

Dyre также следит за интернет-активностью пользователей. Вредонос способен следить за трафиком браузеров Internet Explorer, Chrome и Firefox. Когда жертва вводит свои логин с паролем на сайте целевого банка, Dyre похищает их и передает злоумышленникам. В некоторых случаях (особенно если жертва подключила двухфакторную аутентификацию) злоумышленники используют социальную инженерию.

По словам старшего исследователя киберугроз IBM Джона Куна (John Kuhn), при попытке входа на некоторых банковских сайтах вместо формы ввода логина и пароля пользователь видит другое окно. В нем указывается, что из-за технических сложностей вход на сайт невозможен. Взамен жертве предлагается позвонить по определенному номеру телефона, чтобы осуществить вход.

Когда пользователь звонит по указанному телефону, он соединяется со злоумышленником, который якобы работает в банке жертвы. После короткой беседы киберпреступник просит жертву указать свои логин и пароль, после чего якобы «проверяет» их несколько раз. Он также может попросить код доступа для двухфакторной аутентификации.

После хищения учетных данных злоумышленник входит в учетную запись и переводит определенную сумму денег на оффшорные счета. В целом хакеры похищали от $500 тысяч до $1 млн. В некоторых случаях после хищения средств злоумышленники осуществляют DDoS-атаку, чтобы замести следы.