Нападавшие на российские банки хакеры улучшили свое оружие и вернулись
Эксперты в области кибербезопасности из компании Fidelis обнаружили, что хакерская группировка Cobalt усовершенствовала свое оружие — вредоносный инструмент ThreadKit. Об этом сообщается в отчете, опубликованном на сайте организации.
Исследователи зафиксировали новую версию ThreadKit в октябре 2018 года во время одной из кибератак. Вредное ПО распространяется с помощью фишинговых рассылок. Такая схема атаки типична для преступников из Cobalt.
К электронным письмам хакеры прикрепляли файлы, в которых скрывалась вредоносная программа. Она создает эксплоиты — коды или команды, которые используют брешь в защите для атаки.
Сообщается, что в обновленном варианте ThreadKit злоумышленники продумали сложную систему передачи макросов. Выполняемый вредоносный код загружается частями, а затем объединяется в исполняемый файл. Основным рабочим инструментом злоумышленников остался троян Coblnt.
Также эксперты из Fidelis заметили, что хакеры поработали и над сокрытием следов. Новая программа не только скрывается в других объектах, но и переименовывает ряд файлов, чтобы остаться незамеченной.
Основной целью хакеров из Cobalt являются финансовые организации. Группировка известна с 2013 года, когда впервые вывела средства из атакованных банков на зашифрованные криптокошельки. В марте 2018 года Европол арестовал лидера объединения, однако участники Cobalt продолжают свою преступную деятельность.
В мае 2018 года хакеры из Cobalt атаковали российские банки. Нападения проходили в две волны с разницей в несколько дней. Жертвам приходило письмо якобы от Центрального Европейского банка с вложенным зараженным документом Word. Последняя известная атака преступников из Cobalt на российский банк произошла в конце августа.