Массовый характер атака приобрела из-за того, что злоумышленники замаскировали рассылку вредоносного ПО под приглашение на XIX Международный Форум iFin-2019 “Электронные финансовые услуги и технологии”. Этот форум должен пройти в Москве 19 и 20 февраля, и организаторы рассылали на него свои приглашения, поэтому трудно было увидеть подвох, когда хакеры начали рассылать подделки.
Вредоносный файл — Silence.Downloader aka TrueBot — находился в приложении к нему. А чтобы получатели его открыли, хакеры в своем “приглашении” обещали два бесплатных билета на форум, а также обещали разместить логотип банка на портале форума. В таком способе введения в заблуждение своих жертв Silence не оригинальны, отмечают эксперты. “Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже, - говорится в релизе Group-IB, - они направляют в военные ведомства, посольства, министерства и СМИ “приглашения” на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем”.
Период с 25 декабря по 14 января — “сезон охоты” хакеров на банки, отмечают эксперты. “Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств, - поясняют специалисты, - банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск. Этим пользуются злоумышленники”.
В частности, в конце декабря Silence предприняла еще одну атаку, разослав по банкам поддельное письмо от имени фармацевтической компании. В письме с приложенным вирусом содержалась просьба открыть корпоративный счет и зарплатный проект. При этом задание было “срочным”, и банки просили поторопиться.
Активность обеих атак удалось вовремя обнаружить и заблокировать.Но масштаб действий Silence увеличивается. “Мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний”, - сказал руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов. Еще в ноябре прошлого года Silence устроила массовую рассылку по банкам якобы от имени ЦБ РФ. Подделку распознать было практически невозможно: письмо под названием «Информация центрального банка Российской Федерации» требовало ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа».
