Группировка Cobalt атакует банки по всему миру
Киберпреступная группировка Cobalt, также известная как Gold Kingswood, Carbanak и Anunak, распространяет вредоносную программу SpicyOmelette в ходе кампаний, ориентированных на финансовые учреждения по всему миру. Об этом сообщили исследователи из Secureworks.
Специалисты отслеживали деятельность группировки в течение всего текущего года и зафиксировали случаи использования SpicyOmelette - вредоносного инструмента, применяемого на начальных этапах атаки против финансового учреждения. SpicyOmelette (DOC2018.js) представляет собой сложный файл JavaScript, который предоставляет злоумышленникам удаленный доступ к зараженной системе.
Вредоносная программа, как правило, поставляется с помощью фишинговых писем, которые содержат вложение в формате .PDF. Если жертва, например, сотрудник банка, откроет файл, она будет перенаправлена на подконтрольный злоумышленникам сервер Amazon Web Services. Затем на данной странице начнется установка SpicyOmelette, подписанного действительным сертификатом.
Образец SpicyOmelette, найденный исследователями безопасности, использовал утилиту Microsoft для выполнения произвольного кода JavaScript на скомпрометированной системе и обхода защитных решений.
Вредоносная программа может собирать информацию о компьютере, такую как IP-адрес, имя системы и списки запущенных программных приложений, устанавливать дополнительные вредоносные модули, а также проверять наличие 29 антивирусных программ.
Cobalt связывают с кражей миллионов долларов у финансовых учреждений по всему миру. Как полагают специалисты, злоумышленники причинили ущерб в размере €1 млрд. Несмотря на арест предполагаемого лидера группировки в текущем году, злоумышленники продолжают свою деятельность.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш