В сентябре 2017 года исследователи «Лаборатории Касперского» выявили новую серию таргетированных атак против не менее 10 финансовых организаций в нескольких регионах, включая Россию, Армению и Малайзию. Атаки выполняются группой под названием Silence. Для кражи средств Silence применяет методы, подобные тем, что использовали хакеры Carbanak. Атаки все еще продолжаются.
Silence вошла в ряд самых разрушительных и сложных операций по кибермошенничеству, таких как Metel, GCMAN и Carbanak, с помощью которых удалось украсть миллионы долларов у финансовых организаций. Большинство из этих операций на постоянной основе обеспечивают постоянный доступ к внутренним банковским сетям, отслеживают их повседневную активность, изучают детали каждой отдельной банковской сети, а затем используют эти знания для кражи как можно большего количества денег.
Этому в точности соответствует и Silence Trojan, который ставит под угрозу инфраструктуру жертвы через фишинг-письма.
Вредоносные вложения в электронные письма довольно сложны. Как только жертва откроет их, требуется всего один щелчок, чтобы начать серию загрузок и, наконец, поймать вирус. Он связывается с командным сервером, отправляет идентификатор зараженной машины, загружает и выполняет вредоносную программу, ответственную за различные задачи, такие как запись на экране, загрузка данных, кража учетных данных, дистанционное управление.
Интересно, что преступники используют инфраструктуру уже зараженных финансовых учреждений для новых атак, отправляя электронные письма с реальных адресов сотрудников новой жертве вместе с просьбой открыть банковский счет. Группа Silence способна контролировать действия своей жертвы, в том числе делать несколько снимков экрана жертвы, записывать видео всех действий жертвы в реальном времени и так далее. Все действия служат одной цели: понять повседневную активность жертвы и получить достаточную информацию, чтобы в конечном итоге украсть деньги.
Основываясь на языковых артефактах, обнаруженных во время исследования вредоносных компонентов атаки, эксперты безопасности «Лаборатории Касперского» пришли к выводу, что преступники, стоящие за атаками Silence — русскоязычные.
«Silence Trojan — это новый пример того, как киберпреступники переходят от атак на пользователей к атакам на банки. Самое тревожное здесь заключается в том, что благодаря теневому подходу эти атаки могут попасть в цель, независимо от особенностей архитектуры безопасности каждого банка», — отметил Сергей Ложкин, эксперт по безопасности «Лаборатории Касперского».