Троян Ratopak атакует сотрудников российских банков

Троян Ratopak атакует сотрудников российских банков

В настоящее время цель преступников неясна, однако, вероятнее всего, они преследуют финансовую выгоду.

Специалисты компании Symantec предупредили о фишинговой кампании, направленной на сотрудников российских банков. Злоумышленники распространяют троян Ratopak, позволяющий осуществлять различные действия, в том числе записывать нажатия клавиш, похищать информацию, а также загружать дополнительное вредоносное ПО.

По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 года. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве. Для усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru. Все подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), на самом деле содержащий троян Ratopak.

Помимо прочего, вредонос проверяет основной язык системы, и если им является не русский или украинский, Ratopak прекращает работу.

Как отмечают исследователи, многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось ПО «СБиС», и ссылки вида «buh.sbis.ru/buh/» не вызывали у сотрудников банков подозрений, чем и воспользовались злоумышленники. Ниже перечислены домены, используемые преступниками:

  • google997.com

  • microsoft775.com

  • newsbuh1c.net

  • buh.klerk.us

  • buhnews.com

  • football.championat.biz

  • forum.ru-tracker.net

  • icq.chatovod.info

  • rss.sport-express.biz

По словам специалистов, в настоящее время цель злоумышленников неясна, однако, вероятнее всего, они преследуют финансовую выгоду. 

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.