Троян Silence атакует российские банки

Эксперты «Лаборатории Касперского» сообщили о новой целевой атаке, направленной на финансовые организации. В основном это российские банки, однако исследователи также обнаружили случаи инфицирования компьютерных систем финучреждений Армении и Малайзии.

Первые атаки с использованием трояна Silence были зафиксированы в июле нынешнего года. Новая волна атак продолжается по сегодняшний день. Атакующие получают доступ к внутренней банковской сети, в течение длительного времени изучают ее внутреннюю инфраструктуру и производят запись с экранов компьютеров сотрудников банка. После анализа того, как используется внутрибанковское ПО, злоумышленники осуществляют перевод денежных средств.

Как отмечают эксперты, подобная техника успешно использовалась группировкой Carbanak и рядом других хакерских организаций. Инфицирование осуществляется через электронные письма с вредоносными вложениями. Кроме того, злоумышленники используют инфраструктуру уже зараженных финансовых учреждений для рассылки новым жертвам вредоносных сообщений с реально существующих электронных адресов сотрудников.

Вредоносное вложение представляет собой документ формата CHM (Microsoft Compiled HTML Help - проприетарный формат справочных файлов Microsoft). По сути, это набор HTML-страниц, упакованный в сжатом виде в один файл. Формат является интерактивным и может использовать технологию Javascript для перенаправления пользователя на внешний URL (для этого достаточно просто запустить этот файл). Когда жертва открывала вредоносное вложение, автоматически исполнялся вложенный в CHM start.htm. Данный файл содержал вредоносный код Javascript, который загружал и запускал VBS-скрипт, а тот в свою очередь загружал файл-дроппер.

В рамках исследования эксперты выявили несколько основных модулей трояна Silence, предназначенных для различных целей (контроль и управление, запись с активности экрана, связь с C&C-сервером). Все они запускаются как службы Windows.

Кроме того, на ряде инфицированных компьютеров была обнаружена программа Winexesvc. Сама по себе она не является вредоносной, но может использоваться киберпреступниками как инструмент пост-эксплуатации после успешного заражения. Winexesvc является аналогом известной программы psexec, позволяющей выполнять удаленные команды консоли Windows.