МОСКВА, 27 июл — ПРАЙМ. Компания по предотвращению и расследованию киберпреступлений Group-IB обнаружила сеть бухгалтерских сайтов, заражавших посетителей ресурсов банковскими троянами, говорится в сообщении Group-IB.
Жертвами таргетированной атаки хакеров стали финансовые директора, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. По подсчетам Group-IB, три таких ресурса, появившихся в апреле этого года, уже успели посетить 200 тысяч человек. На данный момент, большинство фальшивых бухгалтерских сайтов заблокированы либо находятся в процессе блокировки. Как минимум, один такой ресурс продолжает работу.
Преступная схема была раскрыта после того, как Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносного ПО в одном из российских банков. В ходе расследования обнаружилось, что троян был "подсажен" с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов — бланков, контрактов, счетов-фактуры и документов налогового учета.
При скачивании документов с сайта происходила загрузка вредоносного ПО, а затем запуск троянской программы, созданной хакерской группой Buhtrap. Программа собирала информацию о компьютере, проверяла историю посещений в браузере, списки упоминания банковских и бухгалтерских приложений, данные о различных платежных и криптовалютных системах. Если программа обнаруживала в файлах одно из более 400 ключевых для нее запросов пользователя в поиске, сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку юрлиц и кражу денег.
Позднее сотрудники CERT обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Эта сеть насчитывала, как минимум, пять ресурсов, объединенных общей задачей: распространение вредоносных программ при скачивании бухгалтерских бланков и счетов. Среди таких ресурсов специалисты Group-IB выявили: buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и buh-doc[.]info.
"Невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по две успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 миллиона рублей. Кроме того, мы не исключаем, что таких ресурсов могло быть больше", — приводятся в сообщении слова заместителя руководителя CERT Group-IB Ярослава Каргалева.
