Опять взялись за старое
Новые атаки
Как известно, группировка Cobalt уже была замечена в подобных преступлениях. Однако сейчас, несмотря на то, что трех высокопоставленных участников хакерской команды арестовали, сама же группировка продолжает свою деятельность и по сей день.
В середине августа этого года, оставшиеся участники Cobalt вновь организовали ряд фишинговых кампаний на российский НС Банк и румынский банк Carpatica Commercial Bank /Patria Bank. Способ атаки остался классическим — в банки отправлялись фишинговые письма, которые замаскированы под корреспонденцию других финансовых организаций. Так вот, эти письма содержали бэкдоры для запуска дополнительных вредоносных модулей. Например, обнаруженные исследователями образцы фишинговых писем включали в себя:
- Документ Word с обфусцированными скриптами VBA,
- Файл в формате JPEG.
Фишинг необходим для изучения принципа работы внутренней системы атакуемой организации. Цель всей хакерской кампании — получить доступ к данным организации для осуществления кражи путем перевода денежных средств.
Интересно, что еще в начале августа Cobalt создала 5 новых доменов, которые замаскированы под сайты платежной системы interkassa, банков BBVA Compass Bancshares, Европейского центрального банка, а также Unibank.
