Специалистами компании Eset было зафиксировано возобновление в российских сетях активности хакерской группы Carbanak. Специалисты также нашли новые образцы вредоносного программного обеспечения, разработанного хакерами из Carbanak с целью организации кибератак против финансовых учреждений. Так, злоумышленниками применяется троянская программа Win32/Spy.Agent.ORM, которая также известна под названием Win32/Toshliph, программа-бэкдор Win32/Wemosis, использующаяся для хищения конфиденциальной информации карт с PoS-терминалов, и троянская программа Win32/Spy.Sekur.
Как подчеркивают в Eset, хакеры из Carbanak сочетают инструменты из разных семейств вредоносных программ. Все вышеперечисленные программы основываются на разных кодовых базах, но имеют некоторые общие черты, к примеру, подписи, основанные на одном цифровом сертификате.
Помимо этого, хакеры добавили в свой арсенал последние эксплойты для некоторых уязвимостей в Microsoft Office, бывшие среди данных, похищенных в результате взлома сети компании Hacking Team.
Атака может быть осуществлена путем отправки фишингового сообщения с вредоносным вложенным файлом в формате SCR или RTF с различными эксплойтами. Специалисты Eset, в частности, имели дело с образцами фишинговой рассылки на русском языке, что были адресованы сотрудникам компаний, занимающихся обработкой электронных платежей, Forex-трейдеров и прочих финансовых организаций.
Группа профессиональных хакеров Carbanak занимается взломом крупных организаций. Среди пострадавших от их действий — банковские организации и Forex-трейдеры из Великобритании, Германии, ОАЭ, России, США и других государств. За 2 года со счетов более 100 банков из 30 стран мира хакерами из Carbanak было украдено около 300 миллионов долларов. Следует отметить, что киберпреступники похищали деньги не у пользователей, а напрямую у банков. На подготовку каждого такого ограбления уходило от 2 до 4 месяцев.