Исследователи выявили сеть сайтов, распространяющих банковские трояны Buhtrap и RTM с целью атаки юридических лиц. Созданные в апреле три ресурса посетили уже не менее 200 тыс. человек.
От атаки пострадали финансовые руководители, юристы, бухгалтеры и специалисты, работающие с системами дистанционного банковского обслуживания (ДБО), платежными системами и криптокошельками. Сейчас как минимум один из мошеннических ресурсов продолжает работать.
Преступную схему раскрыли после того, как подразделение CERT-GIB компании Group-IB зафиксировало попытки загрузить вредоносную программу в одном из банков России. Расследование показало, что троян «подсадили» с бухгалтерского ресурса buh-docum[.]ru, на котором размещена подборка профильных документов: бланков, контрактов, счетов и учетных налоговых документов.
Анализ buh-docum[.]ru показывает, что в исходной версии его зарегистрировали и заполнили финансовым контентом для приманки «своих» посетителей и заражения их компьютеров. Мишенью атаки стали специалисты, имеющие доступ к управлению счетами.
В процессе скачивания документов с сайта одновременно загружалась и запускалась троянская программа, разработанная хакерской группой Buhtrap. Загрузчик получал информацию о компьютере, истории посещений, упоминаниях банковских и бухгалтерских приложений, платежных и особенно криптовалютных системах. Дальше совершалась кража денег в системе ДБО или в платежных системах.
Анализируя сайт buh-docum[.]ru, сотрудники CERT Group-IB выявили сеть сайтов-клонов, мало отличающиеся контентом. Она насчитывала минимум пять ресурсов, которые объединяла единая задача – распространять вредоносные программы при скачивании бланков и счетов.
Вот список таких ресурсов, опубликованный Group-IB:
Ресурсы регулярно поднимались в топ поисковой выдачи по специальным запросам («скачать бланки», «налоговая декларация»). По оценкам Group-IB, ежедневно хакерские атаки приносили злоумышленникам до 1,2 млн руб. Сейчас часть псевдобухгалтерских сайтов заблокирована, остальные проходят процесс блокировки. В CERT Group-IB не исключают, что вредоносных ресурсов может быть больше.
Мошеннические сайты успешно маскируются под серьезные проекты. Они регулярно появляются в ТОПе поисковиков и неотличимы от профильных ресурсов. Чтобы избежать рисков, сотрудничайте с «Бридж Групп». Мы давно на рынке, имеем сертификаты и ведем реальную бухгалтерскую деятельность с гарантиями законности.