Об этом информирует РБК со ссылкой на сообщение «Лаборатории» в блоге на Telegraph.
«Первая волна» кибератаки началась еще в июле 2017 года, однако продолжается и сейчас, и представляет собой «опасную тенденцию», поскольку использует легитимные администраторские инструменты, чтобы оставаться незамеченными.
По данным компании, активность хакеров поскольку атака Silence была зафиксирована уже в нескольких странах, в том числе в Армении и Малайзии
Хакеры рассылают фишинговые письма, используя инфраструктуру уже зараженных учреждений — они отправляют сообщения от имени настоящих сотрудников, что позволяет им практически не вызывать подозрений. В зараженных письмах содержатся зараженные вложения формата .chm. Если пользователь открывает вложение, его компьютер оказывается заражен сразу несколькими модулями троянца, главная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу.
Попадая в корпоративную сеть, злоумышленники получают возможность изучать инфраструктуру банка и следить за рабочей активностью его сотрудников — получать записи видео с экрана монитора сотрудника во время ежедневной рабочей активности. Полученные данные позволяют хакерам изучить поведение сотрудников компании и в дальнейшем осуществлять кражу или перевод средств.