Фишеры рассылают сотрудникам электронные письма и сообщения якобы с предложением работы от банка-конкурента.

Киберпреступники пытаются «завербовать» банковских сотрудников в рамках новых кибератак на африканский финансовый сектор. В течение последних трех недель злоумышленники рассылают действующим сотрудникам финорганизаций электронные письма и сообщения якобы с предложением работы от банка-конкурента. Однако на самом деле предложение является фиктивным, а сообщение содержит вредоносный «сюрприз», сообщает исследовательская команда HP Wolf Security.

Для рассылки фишинговых писем злоумышленники используют электронные адреса, очень похожие на настоящие, но с отличием в один-два символа (так называемый тайпсквоттинг – атака, при которой мошенники используют имена доменов, похожие на настоящие, но с «опечаткой», в надежде, что жертва не заметит разницы).

Если жертва попадается на удочку, ей приходит второе письмо с HTML-вложением. После открытия файла его содержимое декодируется и отображается в виде окна web-загрузчика. Жертве предлагается загрузить файл, который уже хранится на компьютере. Злоумышленники используют данную технику, известную как HTML smuggling, для эффективного обхода механизмов безопасности, блокирующих трафик вредоносных сайтов.

Файл содержит VBS-скрипт, который после двойного нажатия на него мышью инициирует создание ключа реестра для обеспечения постоянства на системе, выполнение скриптов PowerShell и развертывание GuLoader.

GuLoader – загрузчик для доставки на атакуемую систему вредоносного ПО RemcosRAT. Вредонос представляет собой коммерческий троян для удаленного доступа (RAT), предлагаемый на киберпреступных форумах по подписке за невысокую плату.

Предназначенный для атак на Windows-ПК троян оснащен функцией кейлоггера, а также способен делать снимки экрана, следить за жертвой через камеру и микрофон компьютера, похищать данные ОС и персональные файлы, фиксировать активность жертвы в браузере и загружать дополнительное вредоносное ПО.

Атакуя сотрудников банков, злоумышленники, вероятнее всего, пытались получить доступ ко внутренним системам банков либо через корпоративные машины, либо через личные устройства персонала, работающего удаленно.

Источник: securitylab