Компания Group-IB обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами. Киберпреступники атаковали юридические лица с целью получить доступ к их файлам и система.

По данным экспертов, жертвами трёх опасных ресурсов стали, по меньшей мере, 200 тысяч человек. Среди них — финансовые директоры, юристы, бухгалтеры и другие специалисты. Сеть удалось выявить благодаря попытке загрузки вредоносна в одном из российских банков: его хотели загрузить с профильного бухгалтерского ресурса buh-docum[.]ru. 

Злоумышленники замаскировали его под профильной сайт со множеством финансовых документов. Скачивая любой из них, пользователь также загружал трояна. Он собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных и криптовалютных системах.

Братья-близнецы 

Поиск в компьютере вёлся с помощью так называемых «ключевиков» (ключевых поисковых запросов). После обнаружения одного из них загружались специальные трояны для юрлиц Buhtrap или RTM. Они были нацелены на кражу денег в системах дистанционного банковского обслуживания и из различных платежных систем.

Group-IB изучила вредоносный ресурс и обнаружила ещё несколько сайтов с идентичным контентом: buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и nbsp;buh-doc[.]info. Два домена появились почти год назад, остальные проработали в течение нескольких месяцев. Посетители привлекались на ресурсы благодаря поисковой выдаче: они регулярно появлялись в топе по соответствующим запросам. 

Как отмечают эксперты, ежедневно как минимум происходят по 2 успешных атаки, каждая из которых в среднем приносит хакерам до 1,2 млн рублей. Большая часть фальшивых ресурсов уже заблокирована либо находится в процессе блокировки. На данный момент, как минимум, один ресурс продолжает работу.