"За свою незаметность и скрытность атака получила название Silence ("Тишина"). Злоумышленники пользуются известной, но по-прежнему очень эффективной техникой. Заражение происходит через целевые фишинговые письма с вредоносными вложениями. Например, атакующие используют инфраструктуру уже зараженных учреждений и отправляют сообщения от имени настоящих сотрудников. Таким образом они практически не вызывают подозрений. Часто текст выглядит как стандартный запрос на открытие счета", - говорится в сообщении.
Письма содержат вредоносные вложения в формате .chm - файлы со встроенными скриптами запускают целую цепочку событий. В результате простого открытия вложения компьютер оказывается заражен сразу несколькими модулями троянца, конечная цель которых - собрать информацию об устройстве и отправить ее управляющему серверу. Все запускаемые модули маскируются под различные службы Windows.
Проникнув в корпоративную сеть, киберпреступники получают возможность изучить инфраструктуру банка и устроить слежку за сотрудниками, в том числе записывая видео с экранов мониторов. После анализа этих данных преступники крадут деньги.
"Атаки на банки и финансовые организации - один из самых эффективных способов обогащения для киберпреступников. То, что атака Silence была зафиксирована уже в нескольких странах, говорит о растущей активности группы. При этом злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию. Такие техники в последнее время все чаще используются киберпреступниками, это очень тревожная тенденция: судя по всему, они будут активно применяться и в будущем", - говорит старший антивирусный эксперт "Лаборатории Касперского" Сергей Ложкин.
Для эффективной защиты от целевых атак необходим комплекс мер с использованием технологий нового поколения для обнаружения аномалий. Пример подобного решения - платформа Kaspersky Anti Targeted Attack (KATA). Она собирает информацию обо всех событиях в Сети, находит аномалии и объединяет их в инциденты, пояснили в компании.
Напомним, на прошлой неделе вирус-вымогаель BadRabbit атаковал российские банки из числа топ-20. "Плохой кролик" попадал на компьютеры, маскируясь под обновление для AdobeFlash. После установки он блокировал активность в системе и зашифровывает файлы, а затем требовал выкуп в размере 0,05 биткоина (около 280 долларов).