Киберпреступники разослали более 11 тыс. писем с фейковых почтовых адресов госучреждений РФ с трояном RTM, предназначенным для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. Хакерскую атаку зафиксировала международная компания Group-IB.
Вредоносная рассылка осуществлялась на адреса финансовых учреждений и предприятий с 11 сентября. В общей сложности хакеры отправили 11 073 письма с 2,9 тыс. различных электронных адресов, подделанных под госучреждения. При этом одно успешное хищение такого типа может принести злоумышленникам около 1,1 млн рублей.
«Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», — отметил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.
В каждом письме содержался архив с исполняемым файлом, причем распакованные файлы имеют фейковые иконки PDF. Заражение компьютера происходит после запуска извлеченного из архива файла. Модули трояна собирают информацию о компьютере, установленных банковских и бухгалтерских приложениях, а также считывают нажатия клавиатуры, делают снимки экрана, подменяют платежные реквизиты, записи базы доменных имен и сертификаты безопасности.
5 декабря «Лаборатория Касперского» сообщила об обнаружении нового вида кибератак на банковские системы Восточной Европы.