Как сообщают эксперты Symantec, против российских банков организована фишинговая кампания, предназначенная для распространения троянской программы Ratopak.
Согласно информации Symantec, в декабре минувшего года киберкампания была начата против 6 российских банков. Злоумышленники организовали якобы от имени Центрального банка РФ рассылку сотрудникам финансовых организаций. С этой целью неизвестными был зарегистрирован домен cbr.com.ru. Настоящий сайт ЦБ расположен по адресу cbr.ru.
В фальшивом письме от Центробанка сообщается, что в ЦБ открылась вакансия и кандидатуру адресата якобы уже рассмотрена. Для ознакомления со всеми подробностями хакеры предлагали скачать ZIP-архив, защищенный паролем, который приведен в письме. В действительности архив содержал троянскую программу Ratopak.
По словам исследователей, Ratopak обладает функцией кейлоггинга, делает скриншоты, похищает информацию из буфера обмена, а также загружает на инфицированный компьютер произвольные файлы, включая дополнительное вредоносное программное обеспечение. Перед началом полноценной работы, Ratopak проверяет, является ли основным языком системы украинский или русский.
Специалисты Symantec предполагают, что хакеры, вероятнее всего, руководствуются финансовой выгодой. Однако пока неизвестно, какую ценность могла представлять для злоумышленников налоговая отчетность конкретных банков.