Российские банки атакуются трояном Ratopak


SymantecСпециалисты компании Symantec зафиксировали в Сети новую фишинговую кампанию, направленную на сотрудников российских банков. В ходе данной кампании злоумышленники распространяют троян Ratopak.

Ratopak - вредоносное ПО, позволяющее осуществлять различные действия, в том числе записывать нажатия клавиш, похищать информацию, а также загружать дополнительное вредоносное ПО.

По имеющимся в Symantec данным, кампания против шести российских банков стартовала еще в декабре 2015 года. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве.

С целью усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru. Отметим, настоящий сайт ЦБ располагается по адресу cbr.ru. Подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), который на самом деле содержит трояна Ratopak.

Кроме выше перечисленного функционала вредонос проверяет основной язык системы. В случае, если им является не русский или украинский, Ratopak прекращает работу.

Исследователи отметили, что многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось программное обеспечение "СБиС", и ссылки вида "buh.sbis.ru/buh/", которые не вызывали у сотрудников банков подозрений. Этим и воспользовались злоумышленники. Домены, используемые преступниками:

  • google997.com
  • microsoft775.com
  • newsbuh1c.net
  • buh.klerk.us
  • buhnews.com
  • football.championat.biz
  • forum.ru-tracker.net
  • icq.chatovod.info
  • rss.sport-express.biz


Специалисты пока еще не выяснили настоящую цель злоумышленников. Однако, вероятнее всего, они преследуют финансовую выгоду.


Обновлено (26.02.2016 00:04)