Ряд российских компаний-операторов критической инфраструктуры оказался под прицелом киберпреступников, которые подделывают сайты крупных предприятий для получения финансовой выгоды. По данным специалистов Cylance, преступники создают фальшивые сайты, имитирующие официальные ресурсы нефтегазовой компании "Роснефть" и ее подразделений, крупных предприятий в сфере сельского хозяйства, нефтегазовом и химическом секторах, а также нескольких крупных российских бирж.
В рамках кампании злоумышленники рассылают специально сформированные документы Microsoft Office, которые загружают вредоносное ПО RedControle с поддельных web-сайтов. RedControle открывает киберпреступникам доступ к целевым системам, позволяя собирать ценную информацию. Кампания активна уже более трех лет, за это время вредонос претерпел лишь незначительные изменения. Насколько успешными были атаки, специалисты Cylance сказать затруднились, поскольку атакуемые предприятия не являются клиентами компании.
Как полагают исследователи, киберпреступники зарабатывают деньги с помощью классической схемы BEC (Business Email Compromise). Вначале злоумышленники собирают учетные данные, используя кейлоггер, а затем изучают, с кем контактирует жертва. В некоторых случаях они дополнительно собирают учетные данные других сотрудников организации. С их помощью преступники получают доступ к почтовым ящикам и под видом владельцев меняют номера счетов и перенаправляют средства на собственные счета.
Что интересно, группировка начинала с атак на пользователей Steam, а также игроков в Counter-Strike и другие игры, однако позже переключилась на более выгодные цели. Хотя последняя крупная атака злоумышленников была зафиксирована в октябре нынешнего года, по мнению специалистов, кампания все еще продолжается.