Группировка WatchWolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. И делает она это нестандартным способом: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов, сообщает BI.ZONE. 

В компании рассказали, что злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — всё это помогает выводить такие сайты на первую страницу результатов поиска.

«Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причём не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью WatchWolf выводит средства со счетов компании», — объяснили в BI.ZONE.

По словам руководителя управления киберразведки BI.ZONE Олега Скулкина, за WatchWolf в компании следят с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход, и подобный сценарий фиксируется впервые.

Также он отметил, что группировка распространяет троян Buhtrap, инциденты с которым часто заканчиваются значительными убытками: за последние девять лет с помощью этого вредоноса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд рублей.

Для защиты от такого рода атак можно использовать специализированные сервисы для защиты DNS-трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках, заключили в BI.ZONE.

11 апреля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

20.06.2025
NFC станет дальше. И одновременно ближе...
20.06.2025
Снова о «крупнейшей утечке в истории»
20.06.2025
Кузнецов: Разделённое внимание снижает бдительность
20.06.2025
Роском Надзор и «проблемы у отдельных зарубежных хостинг-провайдеров»
20.06.2025
Wildberries анонсировал ягодный «пластик»
20.06.2025
Алгоритмы у власти: как ИИ переписывает правила конкуренции в глобальных отраслях
20.06.2025
Названы номинанты заключительного тура премии «Приоритет: Цифра — 2025»
19.06.2025
Осеевский: Видимо, нас ждёт экспансия китайских компаний
19.06.2025
Android — на втором месте по числу успешно проведённых атак
19.06.2025
Max выходит один на один с «дубайским месседжером»?

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных