«Лаборатория Касперского» сообщила о том, что 15 марта десятки российских банков подверглись целевой атаке, организованной путем рассылки вредоносных писем на электронные адреса сотрудников.
Чтобы обманут адресатов, киберпреступники выдавали себя за FinCERT, специальный отдел в структуре Центрального Банка Российской Федерации, созданный около года назад для информирования российских банков об инцидентах информационной безопасности в финансовой сфере. Для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали специальную базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT.
Атака началась 15 марта примерно в полдень по московскому времени. Злоумышленники использовали специальную базу. Предполагается, что она была составлена из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Письма отправлялись с адреса info@fincert.net, имеющее некоторое сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. Собственно, макрос и являлся единственным вредоносным элементом на всех этапах данной атаки. При его запуске происходила попытка соединения с удаленным ресурсом для загрузки некоего файла, подписанного легальной цифровой подписью реально существующей московской компании. Этот файл позволяет злоумышленникам получить доступ к информационной системе банка.