Таргетированная атака: фейковые бухгалтерские сайты заразили 200 тыс. пользователей

Возврат к списку

Таргетированная атака: фейковые бухгалтерские сайты заразили 200 тыс. пользователей

27.07.2018     

Аналитики Group-IB предупредили о сети сайтов для бухгалтеров, которые заражают посетителей банковскими троянами Buhtrap и RTM. Чаще всего вирусы атакуют компьютеры юридических лиц. Первые опасные ресурсы появились в апреле 2018 года.

Сеть зараженных сайтов обнаружил Центр реагирования на инциденты информационной безопасности Group-IB. Эксперты подсчитали, что жертвами хакеров стали 200 тыс. человек. Среди них – юристы, бухгалтеры и финансовые директора компаний. Они работают с системами дистанционного банковского обслуживания, платежными системами или криптокошельками. 

Как это работало

Трояны заражают пользователей через ресурс buh-docum[.]ru, заполненный профильным контентом: контрактами, бланками и счетами. В компьютер вирус проникает с загрузкой документов, после этого вредоносное ПО запускается автоматически. Программу разработали хакеры из группы Buhtrap.

Вирусы собирают информацию о пользователях, включая данные из платежных систем. Жертв программы находят по ключевым запросам в интернете. Например:

 

 

Как только ПО обнаруживает такой запрос, сервер передает команду на загрузку вирусов в компьютер пользователя.

Подобные ключи содержат как минимум пять ресурсов – buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и buh-doc[.]info.

Что делать пользователям

Аналитики Group-IB призывают пользователей проявлять бдительность. Все зараженные ресурсы регулярно появлялись в топе поисковой выдачи. Как правило, после запросов «скачать бланк», «скачать налоговую декларацию» и т.д. Исследователи подсчитали, что каждая атака приносит киберпреступникам около 1,2 млн рублей.

Предупредить угрозу можно с помощью специальных систем: они распознают атаки в корпоративных сетях и анализируют скачиваемые файлы в безопасной среде. Компьютеры с финансовыми документами лучше изолировать и разрешать доступ в сеть только по «белым спискам». Хорошим правилом станут тренинги по информационной безопасности для бухгалтеров, секретарей и системных администраторов.

Экспертам Group-IB удалось заблокировать большинство зараженных ресурсов для бухгалтеров. Но это не гарантирует безопасности: возможно, злоумышленники создадут новые зараженные ресурсы с похожим контентом. 



Источник: https://infostart.ru/journal/news/tekhnologii/targetirovannaya-ataka-feykovye-bukhgalterskie-sayty-zarazili-200-tys-polzovateley_876005/
Автор:
Дмитрий Мельников Обозреватель


Какой антивирус кажется вам наиболее надежным? (Можно выбрать несколько вариантов)


Dr.Web (26.32%, 5 голосов)
26.32%
Avast (10.53%, 2 голосов)
10.53%
Kaspersky Internet Security (31.58%, 6 голосов)
31.58%
Eset Smart Security (NOD32) (26.32%, 5 голосов)
26.32%
Comodo Antivirus Free (0%, 0 голосов)
0%
Avira AntiVir (5.26%, 1 голосов)
5.26%

Комментарии
Избранное Подписка Сортировка: Древо
1. Gureev 27.07.18 13:01 Сейчас в теме
Прикол. И как это раньше до этого никто не додумался?
sansys; Kochergov; +2 Ответить
5. Denis_CFO 8 27.07.18 13:45 Сейчас в теме
2. Denis_CFO 8 27.07.18 13:14 Сейчас в теме
Среди них – юристы, бухгалтеры и финансовые директора компаний. Они работают с системами дистанционного банковского обслуживания, платежными системами или криптокошельками.
, вроде и уровень образования то у людей должен быть высокий и опыт...
Kochergov; +1 Ответить
3. katenok86 243 27.07.18 13:31 Сейчас в теме
(2)Ага. Вспоминая свою маму главбуха. Которой я рассказывала что сейчас по почте вместе с типа письмом из налоговой о штрафе выслается вирус шифрующий базу 1с. И что такие письма нельзя читать, а она на следующий день и открыла такое письмо. Благо без последствий все закончилось
Kochergov; +1 Ответить
4. Octopus 337 27.07.18 13:33 Сейчас в теме
(3) По запарке, да еще в конце авральной недели, да с замыленным взглядом, да еще чуток промахнувшись - любой имеет шансы напороться
Kochergov; +1 Ответить
6. Kaniman 27.07.18 16:27 Сейчас в теме
А где в голосовании пункт - Никакой! От шифровальщика не спасает ни один антивирус!
По опыту, все вышеперечисленные антивирусы ни разу не спасли.
Хорошо хоть сисадмины режут интернет в бухгалтериях, выделив отдельный для инета.
Kochergov; +1 Ответить
7. webester 27 28.07.18 10:05 Сейчас в теме
(6)Политика ограниченного использования программ, легко решает проблему с шифровальщиком. Отдельный комп для инета это конечно, то еще извращение.
Оставьте свое сообщение

См. также