Группировка Cobalt атакует банки по всему миру

Киберпреступная группировка Cobalt, также известная как Gold Kingswood, Carbanak и Anunak, распространяет вредоносную программу SpicyOmelette в ходе кампаний, ориентированных на финансовые учреждения по всему миру. Об этом сообщили исследователи из Secureworks.

Специалисты отслеживали деятельность группировки в течение всего текущего года и зафиксировали случаи использования SpicyOmelette — вредоносного инструмента, применяемого на начальных этапах атаки против финансового учреждения. SpicyOmelette (DOC2018.js) представляет собой сложный файл JavaScript, который предоставляет злоумышленникам удаленный доступ к зараженной системе.

Вредоносная программа, как правило, поставляется с помощью фишинговых писем, которые содержат вложение в формате .PDF. Если жертва, например, сотрудник банка, откроет файл, она будет перенаправлена на подконтрольный злоумышленникам сервер Amazon Web Services. Затем на данной странице начнется установка SpicyOmelette, подписанного действительным сертификатом.

Образец SpicyOmelette, найденный исследователями безопасности, использовал утилиту Microsoft для выполнения произвольного кода JavaScript на скомпрометированной системе и обхода защитных решений.

Вредоносная программа может собирать информацию о компьютере, такую как IP-адрес, имя системы и списки запущенных программных приложений, устанавливать дополнительные вредоносные модули, а также проверять наличие 29 антивирусных программ.

Cobalt связывают с кражей миллионов долларов у финансовых учреждений по всему миру. Как полагают специалисты, злоумышленники причинили ущерб в размере €1 млрд. Несмотря на арест предполагаемого лидера группировки в текущем году, злоумышленники продолжают свою деятельность.

Источник: https://www.securitylab.ru/news/495725.php