Как рассказали в Group-IB, письма с темой "Информация Центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Для этого получатель должен был распаковать архив.
Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Этот инструменты используют хакеры из Silence.
В компании пояснили, что стиль и оформление фишинговых писем были практически идентичны официальным сообщениям Банка России, однако отправлены были с поддельного адреса регулятора.
В "Лаборатории Касперского" подтвердили изданию факт фишинговой рассылки, которая была замаскирована под уведомления от ЦБ: "Упоминание государственной организации в подобных случаях очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста. Данная рассылка стала частью целевой атаки The Silence".
Банк России заявил, что ему известно о данных атаках: "Участники информационного обмена с ФинЦЕРТ были предупреждены о них".
По данным Group-IB, получателями фишинговых писем были не менее 52 банков в России и не менее пяти банков за границей, а общее число подвергшихся атаке банков может превысить сто.
The Silence, в состав которой входят русскоязычные хакеры, входит в число наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций. Ранее она уже атаковала банки в России, на Украине, в Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.