Специалисты «Лаборатории Касперского» рассказали о новой киберкампании, направленной в первую очередь против банков в России. Кроме того, эксперты выявили факты заражения компьютерных систем финансовых организаций в Армении и Малайзии.
Первые инциденты, связанные с троянской программой Silence, были выявлены в июле этого года. Новая киберкампания осуществляется хакерами в настоящее время. Злоумышленники получают доступ к внутренней сети банка, на протяжении длительного времени анализируют ее внутреннюю инфраструктуру и записывают изображение с экранов компьютеров сотрудников финорганизации. Когда хакеры определяют, каким образом применяется внутрибанковское программное обеспечение, они организуют перевод денежных средств.
По словам экспертов, подобную методику успешно применяли участники различных хакерских групп, в том числе FIN7 (Carbanak). Заражение происходит посредством электронных писем с вложенными вредоносными файлами. Также киберпреступники пользуются инфицированной ранее инфраструктурой банков для того, чтобы рассылать новым жертвам вредоносные письма с реальных почтовых адресов сотрудников.
Вредоносный вложенный файл имеет формат CHM (Microsoft Compiled HTML Help). Фактически, это набор HTML-страниц, помещенный в один файл в сжатом виде. Формат CHM носит интерактивный характер и может пользоваться технологией Javascript для того, чтобы перенаправить пользователя на внешний URL посредством запуска данного файла. При открытии вредоносного вложения жертвой автоматически выполняется start.htm, вложенный в CHM-документ. В этом файле содержится вредоносный код Javascript для запуска VBS-скрипта, который осуществляет активацию загрузчика.
Специалисты обнаружили несколько основных компонентов троянской программы Silence, которые запускаются под видом служб Windows и предназначены для выполнения разных задач (управление, запись изображения с монитора, связь с командным сервером).
