В начале лета 2015 года специалисты Eset зафиксировали повышенную активность семейства Spy.Agent.ORM. Программа распространялась с помощью набора эксплойтов через ряд скомпрометированных сайтов, а также в фишинговых рассылках, ориентированных на сотрудников финансовых учреждений из России и Украины, а также Центрального банка Армении.
Пользователям рассылались сообщения с вредоносными вложениями SCR-файлов или RTF-эксплойтов к уязвимостям Microsoft Office, включая одну из последних – CVE-2015-1770. Троян Win32/Spy.Agent.ORM открывает атакующим удаленный доступ к компьютеру жертвы. Программа подключается к управляющему серверу и выполняет различные команды: сделать снимок экрана, получить список запущенных процессов, собрать информацию о системе, загрузить исполняемый файл и др.
На связь трояна Spy.Agent.ORM и Carbanak указывают одинаковые фрагменты кода, которые встречаются в других вредоносных программах группы: «фирменном» инструменте Win32/Spy.Sekur и бэкдоре для кражи данных карт с PoS-терминалов Win32/Wemosis, замеченным в кибератаках на американские отели-казино, отмечают в Eset.
Все вышеуказанные программы были подписаны одним и тем же цифровым сертификатом, зарегистрированным на московскую компанию Blik. Один из новейших образцов трояна Spy.Agent.ORM, обнаруженных специалистами Eset, подписан цифровым сертификатом киевской компании In Travel.