Предположительно за этим стоит известная группировка Cobalt
Процесс заражения
Атака ориентирована на российских сотрудников банков. Известно, что на данный момент действия злоумышленников состоят из 2 волн атаки.
Первая волна произошла 23 мая. Сотрудникам многих банков рассылались фишинговые письма, в которых содержалась информация о подозрительной активности компьютера у получаемого адресата. Скачивание "объяснительных" файлов приводило к заражению компьютера. Самое интересное, что такие письма были якобы от имени компании Kaspersky Lab.
Вторая волна произошла 28 мая. Способ заражения был таким же, как и в предыдущий раз, однако адрес отправителя был сменен на Центральный Европейский банк. В данном письме был 1 документ Word, который и вызывает заражение устройства.
Неизвестно, будут ли еще массовые рассылки и какой способ атаки придумают в следующий раз.