Масштабная волна вредоносных рассылок группы Silence затронула более 80 тыс. получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы. Вредоносное вложение было замаскировано под приглашение на международный форум iFin-2019, сообщила международная компания Group-IB, специализирующаяся на предотвращении кибератак.

Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение. Интересно, что XIX Международный форум iFin-2019 «Электронные финансовые услуги и технологии», действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправила группа Silence. Фальшивая рассылка велась от имени Forum iFin-2019, но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс, но отредактировали его.

«Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название Вашего банка будет размещено на официальном портале форума», — говорится в письме Silence. В аттаче к посланию был ZIP-архив, внутри которого были приглашение на банковский форум и вредоносное вложение Silence.Downloader, также известное как TrueBot — инструмент, который используют только хакеры Silence.

Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок, которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ «приглашения» на конференции НАТО, ООН или ЕС со скрытыми внутри вредоносными программами, цель которых — шпионить за получателем. 

В январской фишинговой рассылке был использован реальный анонс финансового форума: это еще раз подтверждает версию о том, что участниками Silence, одной из самых малочисленных и слабоизученных хакерских групп, являются люди, предположительно занимавшиеся или занимающиеся легальной работой, в том числе пентестами и реверс-инжинирингом в финансовом секторе, полагают в Group-IB.

В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций ЗАО «Банк ICA» и ЗАО «Банкуралпром» (на самом деле такие банки не существуют). Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader. 

Как показал анализ текста письма, хакеры Silence не застрахованы от ошибок: в письме от имени ЗАО «Банкуралпром» в подписи значится другой несуществующий банк — ЗАО «БанкЮКО». Проверка по указанным адресам (Челябинская обл., г. Магнитогорск, ул. Гагарина, д. 17 и д. 25) показала, что здесь расположены офис другой кредитно-финансовой организации и жилой дом. 

Также Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям в период с 25 по 27 декабря. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь «соучредителем» фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и «торопились» со сменой партнера по зарплатному проекту. Более того, в письмо был вложен «дизайн-макет», чтобы сделать брендированные банковские карты для персонала.

«Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, — комментирует руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов. — Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker». 

Напомним, что Silence часто эксплуатируют банковскую тематику: в ноябре хакеры отправляли массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. Стиль и оформление письма практически идентичны официальным рассылкам регулятора: письма с темой «Информация Центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Однако в архиве письма также содержалась вредоносная программа. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.