Эксперты Trend Micro обнародовали отчет, который посвящен анализу вредоносной программы Ratankba, применявшейся в ходе атак на британские, мексиканские, польские, уругвайские и чилийские банки.
Кроме того, киберпреступники активно действовали против различных компаний, действующих в сфере информационных технологий, страхования и телекоммуникаций, а также авиаперевозчиков и образовательных учреждений.
Хакеры взламывали легитимные сайты и добавляли вредоносный код JavaScript, осуществлявший сбор информации о браузерах посетителей и загрузку эксплоитов. Как утверждают эксперты, на некоторых взломанных сайтах присутствовало вредоносное программное обеспечение и иные подозрительные файлов, включая бэкдор для кражи данных, модифицированную версию эксплоита для уязвимости в Silverlight, а также банковскую троянскую программу.
Процедура заражения включает в себя несколько этапов и подразумевает применение различных вредоносных программ и командных серверов. При этом доставка финальной полезной нагрузки осуществляет лишь на системы, представляющие интерес для злоумышленников.
В одном из случаев вредоносная программа Ratankba осуществляла загрузку хакерского инструмента nbt_scan.exe со взломанного легитимного веб-ресурса, также игравшего роль командного сервера, и проводила мониторинг, осуществляя сбор пользовательской информации и данных о функционирующих процессах и настройках интернет-подключения.
Собранные данные передавались хакерам, которые затем составляли профиль жертвы и пытались осуществить взлом сети посредством атаки методом полного перебора.
Как утверждают специалисты, вследствие активности хакеров пострадали организации не только в Европе, Северной и Южной Америке, но также и в Азии.