В статье экспертов CyS Centrum речь идет о том, что текущие вирусные атаки не стоит считать подготовкой к чему-то массированному – это обычные вирусные рассылки. В статье анализируются две угрозы, которые претендуют на “предвестниц глобальной атаки”.
Угроза №1
Она прошла 10 августа, привлекла внимание банковского регулятора, ее успели приурочить к возможному взлому на День независимости. Но на самом деле – это четвертая по счету и не последняя массовая рассылка рассылка электронных писем, содержащих вредоносное вложение в виде DOCX-документа (эксплойт для MS Office связанный с уязвимостью при обработке файлов EPS; идентификатор CVE-2017-0262), уточняют эксперты CyS Centrum.
Этот эксплойт может сработать, если MS Office не обновлялись с 09.05.2017 – в этом случае возможно заражение вредоносной программой-загрузчиком TrueBot. Впервые зловредная программа-загрузчик была применена 19 апреля этого года и с тех пор вектор атаки (банки) не менялся.
“Эта угроза не имеет отношения к приписываемым Дню независимости возможным кибер-событиям и относится к разряду financially motivated cybercrime с прицелом на банки. Так как сотрудники регулятора предоставили исчерпывающие сетевые индикаторы компрометации, дублировать информацию не будем”, – говорится в статье.
Угроза №2
Эксперты CyS Centrum отмечают, что ведомости о второй угрозе, от 22 августа этого года, представляются, опять же, как подготовка к массированной атаке на праздники. На самом деле, по словам экспертов, эта вирусная рассылка – тоже далеко не первая, за ней стоят злоумышленники, которые занимаются воровством денег в системах «клиент-банк». Рассылка содержала вложение-архив, в котором находилось несколько документов-приманок и вредоносный JS-загрузчик.
Загрузчик обеспечивает скачивание и запуск программы SmokeLoader, которая, в свою очередь, обеспечит загрузку на атакуемый объект вредоносной программы ZeuS VM/KINS. Таким образом, злоумышленники изучат работу бухгалтера, скомпрометируют аутентификационные данные и смогут выкрасть деньги со счета предприятия, переведя их на счет подставной компании.
“Данная угроза исследуется нами с 2013 года… Используемая злоумышленниками тактика не меняется уже несколько месяцев. Последняя фаза активности этой группы началась после летних отпусков 10.08.2017… Как и прежде, данная угроза не имеет никакого отношения к приписываемым Дню независимости возможным киберсобытиям и также относится к разряду financially motivated cybercrime с прицелом на клиентов украинских банков”, – говорится в статье.
Информация об индикаторах этой атаки есть на сайте CERT-UA.
В заключение статьи эксперты CyS Centrum отмечают, что на данный момент компании неизвестны предпосылки, которые свидетельствуют о подготовке массовой кибератаки на праздники.
Напомним, 75% случаев заражения вирусом Petya/NotPetya пришлось на Украину. Но зарубежные компании также пострадали: убытки грузового гиганта Maersk составили $300 млн.
