Для атаки на банки хакеры использовали данные закрытой рассылки Центробанка

Используя собранные сведения, киберпреступники сделали адресную рассылку сотрудникам банков: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.

"Лаборатория Касперского" сообщила о том, что 15 марта десятки российских банков подверглись целевой атаке, организованной путем рассылки вредоносных писем на электронные адреса сотрудников.

Чтобы обманут адресатов, киберпреступники выдавали себя за FinCERT, специальный отдел в структуре Центрального Банка Российской Федерации, созданный около года назад для информирования российских банков об инцидентах информационной безопасности в финансовой сфере. Для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали специальную базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT.

Атака началась 15 марта примерно в полдень по московскому времени. Злоумышленники использовали специальную базу. Предполагается, что она была составлена из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.

Письма отправлялись с адреса [email protected], имеющее некоторое сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. Собственно, макрос и являлся единственным вредоносным элементом на всех этапах данной атаки. При его запуске происходила попытка соединения с удаленным ресурсом для загрузки некоего файла, подписанного легальной цифровой подписью реально существующей московской компании. Этот файл позволяет злоумышленникам получить доступ к информационной системе банка.