Group-IB выявила вредоносные рассылки банкам якобы от ЦБ РФ

Злоумышленники подделали адрес отправителя и рассылали письма с предложением ознакомиться с новым постановлением.

Компания Group-IB, занимающаяся предотвращением и расследованием киберпреступлений, зафиксировала массовую фишинговую рассылку в отношении банков РФ. Злоумышленники действовали от лица Центробанка России и Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ, говорится в сообщении компании.

Специалисты предположили, что атаку провела хакерская группа Silence. По имеющимся данным, злоумышленники подделали адрес отправителя и рассылали письма с предложением ознакомиться с новым постановлением. Во вложенном файле якобы были нужные документы, но после его открытия пользователи загружали инструмент Silence.Downloader, применяемый группой Silence.

По мнению экспертов, оформление рассылки было похоже на оригинальные сообщения от ЦБ. Возможно, у хакеров был доступ к подлинным письмам. Такие же сообщения рассылались от имени департамента информационной безопасности ЦБ ФинЦЕРТ 23 октября. Данная атака могла быть устроена группой MoneyTaker.

Обе команды внесены Group-IB в число наиболее опасных для российских и международных финансовых организаций.