На банки совершена атака хакеров под видом сообщений ЦБ

Десятки банков России подверглись атаке хакеров, замаскированной под официальные сообщения рассылки Центробанка РФ. Как сообщает пресс-служба «Лаборатории Касперского», вредоносные письма были разосланы на электронные адреса сотрудников различных банков от имени Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ РФ (FinCert).

Начало атаки пришлось на полдень 15 марта, централизованно с домена fincert.net по заранее собранной базе адресов финансовых организаций с использованием данных закрытых информационных рассылок FinCERT. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю в конкретной организации, что исключает случайность.

Вредоносные письма приходили с адреса info@fincert.net, крайне похожего на официальный адрес FinCERT. Внутри письма была инструкция по запуску вложенного макроса, требующего ручной активации от пользователя. Запуск макроса запускал соединение с удаленным ресурсом для загрузки определенного файла, подписанного легальной цифровой подписью реально существующей московской компании. Этот файл позволял злоумышленникам получить доступ к информационной системе банка.