Хакеры группировки TinyScouts проводили кибератаки на российские банки, отправляя письма под видом журналистов с предложением об интервью. Как сообщает РБК, также они присылали фишинговые сообщения с предупреждением о второй волне коронавируса.
По данным специалистов центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома», новая хакерская группировка использует ранее неизвестное вредоносное программное обеспечение. Глава отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов рассказал, что первые атаки на банки были проведены в апреле.
Киберпреступники рассылают сотрудникам письма, в которых предупреждают якобы о начале второй волны пандемии коронавируса и предлагают пройти по ссылке для получения подробных данных. Переход по ней приводил к загрузке основного компонента вредоносного ПО.
Сообщения рассылаются от имени различных юридических лиц. Одна из атак была проведена через якобы журналиста РБК. Хакеры написали поддельное письмо, отправленное с почты, похожей на корпоративный адрес РБК. В нем одному из сотрудников калининградского банка злоумышленники предложили пройти интервью.
По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако они не раскрыли названия организаций.
Если на устройстве не удавалось найти ничего интересного, то на него устанавливали «программу-вымогатель», шифрующую всю информацию на устройстве и требующую выкуп за разблокировку. В случае обнаружения интересных данных, загружалось еще одно ПО, обеспечивающее членам TinyScouts удаленный доступ и полный контроль над зараженным девайсом.