Эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию, в ходе которой злоумышленники из группировки RTM применяют достаточно богатый арсенал инструментов.

Как передает «Лаборатории Касперского» в Армении, в ход идут и банковский троян, и новый, до сих пор не встречавшийся шифровальщик-вымогатель Quoter, и вполне легитимные программы для удаленного доступа (как минимум LiteManager и RMS).

Атака начинается со стандартного фишинга. Злоумышленники рассылают троян RTM, замаскированный под документ. Чтобы получатель гарантированно кликнул на вложение,
письмо снабжается заголовком, который, по мнению операторов атаки, должен заинтересовать корпоративного получателя. Если получатель кликает на вложение и
устанавливает вредонос, то через некоторое время на его компьютер скачиваются и дополнительные хакерские инструменты.

Далее преступники ищут в сети компьютеры сотрудников бухгалтерии и пытаются манипулировать системой дистанционного банковского обслуживания, стараясь подменить реквизиты на собственные. Если им не удается добраться до денег непосредственно, то они запускают еще один троян под названием Quoter. Он шифрует содержимое всех компьютеров, к которым операторы атаки успевают получить доступ. Шифровальщик зачем-то вставляет в код зашифрованных файлов цитаты из
кинофильмов на английском.

«Как это заведено у современных операторов вымогательского ПО, они также выкачивали информацию и угрожали обнародовать ее, в том случае если выкуп не будет
уплачен вовремя. Еще одна опасность зловреда в том, что между первичным заражением и активацией шифровальщика, после которой атака становится очевидной, может
проходить до нескольких месяцев. Все это время злоумышленники исследуют сеть жертвы в поисках компьютеров с системами дистанционного банковского обслуживания»,- отмечают эксперты.

Они для защиты от сложных атак с применением фишинга рекомендуют компаниям пояснить сотрудникам способы защиты от уловок фишеров, защищать корпоративную
сеть продвинутыми инструментами для выявления сложных угроз и устанавливать на все компьютеры сотрудников защитные решения, способные выявлять как известные, так и
абсолютно новые угрозы.