Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев поделился подробностями недавней атаки на российские банки, проведенной посредством адресной рассылки писем с вредоносным вложением. Примечательно, что эти поддельные сообщения были написаны от имени FinCERT, специализированного центра мониторинга и предупреждения компьютерных атак, созданного на базе Банка России около года назад. По свидетельству экспертов, этот «бренд» впервые используется злоумышленниками в качестве приманки.
По всей видимости, за истекший период FinCERT успел оправдать чаяния своих учредителей в условиях роста преступной активности в кредитно-финансовой сфере. В настоящее время с FinCERT работают свыше 190 банков, чем и воспользовались инициаторы новой атаки.
По данным «Лаборатории Касперского», рассылка поддельных писем на почтовые адреса служащих разных банков началась в минувший вторник, 15 марта, примерно в 12:00 по московскому времени. «Предобеденное или обеденное время является весьма удобным для атак, поскольку внимание большинства рядовых сотрудников обычно в этот период снижается, и вероятность успешного использования социальной инженерии вырастает», — поясняет Гостев в своей блог-записи на сайте Securelist.
Авторы спам-рассылки обращались к каждому получателю по фамилии, имени и отчеству и, прикрываясь известным именем, просили ознакомиться с вложением. Видимо, база контактов была сформирована заранее, причем на основе каких-то особых источников: «лаборанты» попытались найти ряд адресов получателей через поисковые системы и не нашли таких данных в открытом доступе.
Рассылка велась с почтового адреса info@fincert.net (на самом деле FinCERT использует с этой целью домен cbr.ru) — из домена, зарегистрированного, как оказалось, в ночь перед рассылкой. Тогда же злоумышленники зарегистрировали еще одно доменное имя, для создания своего сервера, — view-atdmt[.]com.
Текст поддельного письма помимо именного обращения содержал лишь одну лаконичную фразу, намекавшую, что в прикрепленном doc-файле якобы содержится информация о возможной компрометации клиентской программы банка. Судя по образцу сообщения, приведенному в отчете «Лаборатории», спамеры очень торопились или просто плохо учились в школе: они допустили ошибки в слове «компрометация», фигурирующем как в теме, так и в теле письма.
Образец поддельного письма, полученного сотрудником банка 15 марта (источник: «Лаборатория Касперского»)
Приводя этот скриншот, Гостев обращает внимание читателей на цифровой код в имени вложенного файла, отмечая, что FinCERT действительно использует такой код в своих уведомлениях об атаках. «Это свидетельствует о том, что атакующие хорошо знакомы с информационными рассылками FinCERT, которые относительно закрыты и недоступны для широкой публики», — заключил эксперт.
Как оказалось, данный «документ» содержит лишь инструкцию по активации макроса вручную (по умолчанию он отключен). Если разрешить запуск, встроенный VBA-макрос осуществит загрузку с удаленного сервера. «По состоянию на утро 16 марта разосланный злоумышленниками вредоносный файл был загружен на сервис VirusTotal для проверки более 70 раз из 56 различных источников», — не преминул отметить Гостев. Защитные решения «Лаборатории» детектируют его с вердиктом Trojan-Downloader.VBS.Agent.
Использование макросов для загрузки целевых файлов — техника отнюдь не новая, но активно используется вот уже больше года. Об этом мы неоднократно писали, на это же обращает внимание автор блог-записи. Тем не менее в данном случае на машину загружается не зловред, как можно было бы ожидать, а вполне легальный заархивированный набор удаленного администрирования на базе LiteManager 3.4. Такие легитимные инструменты, по свидетельству Гостева, весьма популярны у русскоязычных злоумышленников, атакующих банки; к тому же они позволяют скрыть недобрые намерения от систем защиты, использующих черные списки.
Примечательно, что этот архивный файл имеет валидную цифровую подпись; он был подписан за несколько часов до начала рассылки действительным сертификатом, выданным в декабре 2015 года УЦ Comodo московской компании «Спек-2000». Эксперты были немало удивлены, когда узнали, что эта столичная организация занимается исключительно перевозкой грузов.
