Эксперты Symantec зафиксировали волну кибератак, направленных на организации по всему миру. В рамах кампании злоумышленники инфицируют компьютерные системы банков неизвестным вредоносным ПО. Согласно данным Symantec, вредоносная кампания продолжается по меньшей мере с октября 2016 года.
Об операции стало известно после того, как в компьютерных системах ряда банков в Польше было обнаружено неизвестное вредоносное ПО. Как сообщалось, источником заражения стала Комиссия по финансовому надзору Польши. Злоумышленники скомпрометировали сайт регулятора и внедрили скрипт, перенаправляющий посетителей ресурса на страницу, содержащую набор эксплоитов, который загружал на компьютер жертвы вредоносное ПО.
В атаках злоумышленники используют кастомный эксплоит-кит, который заражает компьютеры посетителей на основе списка, включающего порядка 150 IP-адресов. Данные адреса принадлежат 104 организациям в 31 стране мира (в основном это банки и незначительное число телекоммуникационных компаний и интернет-провайдеров).
Как выяснилось в ходе анализа, код вредоносного ПО, получившего наименование Downloader.Ratankba, имеет схожие характеристики с вредоносом, применявшимся хакерской группировкой Lazarus, которую связывают со взломом компании Sony Pictures Entertainment и рядом агрессивных кибератак на объекты в США и Южной Корее. В настоящее время аналитики Symantec продолжают изучение Ratankba.