Аналитики Group-IB наткнулись на сеть псевдобухгалтерских сайтов

Аналитики Group-IB наткнулись на сеть псевдобухгалтерских сайтов

Исследователи выявили сеть сайтов, распространяющих банковские трояны Buhtrap и RTM с целью атаки юридических лиц. Созданные в апреле три ресурса посетили уже не менее 200 тыс. человек.

От атаки пострадали финансовые руководители, юристы, бухгалтеры и специалисты, работающие с системами дистанционного банковского обслуживания (ДБО), платежными системами и криптокошельками. Сейчас как минимум один из мошеннических ресурсов продолжает работать.

Преступную схему раскрыли после того, как подразделение CERT-GIB компании Group-IB зафиксировало попытки загрузить вредоносную программу в одном из банков России. Расследование показало, что троян «подсадили» с бухгалтерского ресурса buh-docum[.]ru, на котором размещена подборка профильных документов: бланков, контрактов, счетов и учетных налоговых документов.

Анализ buh-docum[.]ru показывает, что в исходной версии его зарегистрировали и заполнили финансовым контентом для приманки «своих» посетителей и заражения их компьютеров. Мишенью атаки стали специалисты, имеющие доступ к управлению счетами.

В процессе скачивания документов с сайта одновременно загружалась и запускалась троянская программа, разработанная хакерской группой Buhtrap. Загрузчик получал информацию о компьютере, истории посещений, упоминаниях банковских и бухгалтерских приложений, платежных и особенно криптовалютных системах. Дальше совершалась кража денег в системе ДБО или в платежных системах.

Анализируя сайт buh-docum[.]ru, сотрудники CERT Group-IB выявили сеть сайтов-клонов, мало отличающиеся контентом. Она насчитывала минимум пять ресурсов, которые объединяла единая задача – распространять вредоносные программы при скачивании бланков и счетов.

Вот список таких ресурсов, опубликованный Group-IB:

  • buh-docum.ru

  • patrolpolice.org.ua

  • buh-blanks.ru

  • buh-doc.online

  • buh-doc.info

Ресурсы регулярно поднимались в топ поисковой выдачи по специальным запросам («скачать бланки», «налоговая декларация»). По оценкам Group-IB, ежедневно хакерские атаки приносили злоумышленникам до 1,2 млн руб. Сейчас часть псевдобухгалтерских сайтов заблокирована, остальные проходят процесс блокировки. В CERT Group-IB не исключают, что вредоносных ресурсов может быть больше.

Мошеннические сайты успешно маскируются под серьезные проекты. Они регулярно появляются в ТОПе поисковиков и неотличимы от профильных ресурсов. Чтобы избежать рисков, сотрудничайте с «Бридж Групп». Мы давно на рынке, имеем сертификаты и ведем реальную бухгалтерскую деятельность с гарантиями законности.

Связаться с нами

  • Москва: +7 (495) 255-26-40
    115230, г. Москва, Варшавское шоссе, д. 42
  • Санкт-Петербург: +7 (812) 612-26-87
    196247, г. Санкт-Петербург, Ленинский проспект, д.151
  • Тула: +7 (4872) 52-15-11
    300012, Тула, ул. Мориса Тореза, д.5 кор 2
  • Чебоксары: +7 (495) 255-26-40
    428003, Чебоксары, улица Федора Гладкова, дом 9