Компания Group-IB сообщила о первой в этом году масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 тыс. получателей – сотрудников российских кредитно-финансовых организаций, в основном банков и крупных платежных систем.

Массовая атака началась с фишинговых рассылок Silence 16 января, и впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. XIX международный Форум iFin-2019 действительно пройдет в Москве 19 и 20 февраля, и организаторы мероприятия сделали об этом рассылку около 9 утра по Москве 16 января. Через несколько часов было разослано «приглашение» от Silence, эта рассылка велась от имени Forum iFin-2019, но с адреса info@bankuco[.]com. Текстовые совпадения показывают, что злоумышленники использовали официальный анонс, но отредактировали его.

В письме Silence говорится: «Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума». К письму был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot – инструмент, который используют только хакеры Silence.

Как отмечают в Group-IB, практика маскировки вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ «приглашения» на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, шпионящие за получателем.

Кроме того, в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков – ЗАО «Банк ICA» и ЗАО «Банкуралпром». Отправители просили оперативно рассмотреть вопрос открытия и обслуживания корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась та же вредоносная программа Silence.Downloader.

По данным Group-IB, киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется много денежных средств, а банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск.

В частности, с 25 по 27 декабря 2018 г. Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь «соучредителем» фармкомпании, описывали ее филиальную структуру, указывали количество сотрудников. Более того, в письмо якобы был вложен «дизайн-макет», чтобы выпустить брендированные банковские карты для персонала. Подобное подготовленное предложение от клиента, считают эксперты, это хорошая наживка для банка, с высокой вероятностью получившие его банковские сотрудники откроют приложенный файл. Однако в результате распаковки архива произойдет загрузка на компьютер лоадера, а потом и основного модуля Silence.

Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована. Как комментируют в компании, масштаб действий Silence увеличивается: наблюдается не только рост атак по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. В работе группы специалисты фиксируют изменения, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. В Group-IB считают Silence одной из самых опасных русскоязычных групп, фактически ставя ее в один ряд с Cobalt и MoneyTaker.