10.04.2023 Новости, БезопасностьГруппировка Watch Wolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. Но делает она это нестандартно: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов. Злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска. Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причем не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью Watch Wolf выводит средства со счетов компании. Олег Скулкин, руководитель управления киберразведки BI.ZONE, прокомментировал: «Наша команда следит за Watch Wolf с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход. Такой сценарий мы фиксируем впервые. Это доказывает, что бизнес должен быть в курсе трендов в технике и тактике атак, чтобы защитить активы. Также стоит отметить, что группировка распространяет троян Buhtrap ...
читать далее.