Атаки на финансовый сектор: фишинг, уязвимость WGear и утечки в даркнете

На первом этапе атак преступники рассылают фишинговые письма, замаскированные под рабочие документы. Среди файлов, которые они используют, встречаются названия вроде RFQ-097970-H2551-NO-20897--0976-order.bat, "-송금내역NoticeSecure.htm" и "Resume260407I will be a candidate who is sincere and consistent in all things.exe". Злоумышленники выдают их за платёжные поручения, налоговые квитанции или резюме, чтобы жертва доверилась и открыла вложение. После запуска такого файла на компьютер попадает вредоносная программа. Сначала срабатывает загрузчик, который скачивает и устанавливает основное вредоносное ПО. Затем на устройстве оказывается либо похититель данных (инфостилер), либо программа-вымогатель. Статистика показывает, что именно эти три класса угроз - фишинг, загрузчик и вымогатель - лидируют в атаках на финансовый сектор.

Отчёт специалистов подтверждает, что среди наиболее активно используемых вредоносных программ в финансовой сфере можно выделить GeniexLoader, который связывают с группировкой BlueNoroff (известной также как CryptoCore и APT38). Эта группа давно нацелена на финансовые организации, особенно на банки и криптобиржи. Одним из векторов проникновения стала уязвимость в решении WGear от компании Inswave. WGear - это программное обеспечение для корпоративного банкинга, которое обрабатывает электронные финансовые документы. Уязвимость получила классификацию RCE (удалённое выполнение кода). Она затрагивает версию 1.100.7.0205 и более ранние. Если атакующий может отправить специально сформированный запрос, он получает возможность выполнить произвольный код на сервере банка. В реальной атаке вредоносное ПО через процесс WGear запускало mshta - встроенную утилиту Windows, которая вызывает внешние HTML-файлы. Эти файлы, в свою очередь, загружали и исполняли дополнительные модули, в конечном счёте устанавливая GeniexLoader. Таким образом злоумышленники закрепляются в системе и воруют учётные данные или запускают вымогатель.

Параллельно с эксплуатацией уязвимостей в финансовом секторе активно действуют мошенники, использующие фишинг для кражи паролей. Они рассылают письма с темами, касающимися переводов, квитанций и голосовых сообщений. Внутри письма содержится ссылка на поддельную страницу входа, где жертва вводит свой логин и пароль. Эти данные мгновенно отправляются в чат-бот злоумышленника через Telegram API (интерфейс для программного обмена данными с мессенджером). Согласно опубликованным данным, только за январь через такие каналы было скомпрометировано около двух процентов всех учётных записей южнокорейских финансовых организаций. Учитывая масштаб индустрии, это тысячи утечек.

В даркнете и на специализированных форумах киберпреступников кипит торговля украденной финансовой информацией. Один из крупных игроков - ShinyHunters на площадке BreachForums - выставил на продажу базу данных клиентов испанского банка Santander. Продавец утверждает, что в ней содержится информация о более чем 30 миллионах клиентов, свыше 6 миллионов записей о счетах и остатках, а также около 28 миллионов номеров кредитных карт. Цена - примерно один миллион долларов. Другой продавец под псевдонимом secur3rat на DarkForums предлагал 26 554 комбинированных списка (логин:пароль) от Deutsche Bank всего за 200 долларов. Правда, проверка показала, что часть записей - это адреса не связанных с банком веб-сайтов, что снижает ценность данных. Также на BreachForums объявился RubiconH4ck, который заявил о наличии набора данных бразильского финансового сектора объёмом примерно 2,3 миллиона записей, включая клиентов Banco do Brasil.

Кроме продажи баз, подтверждены атаки программ-вымогателей на финансовые организации. Группа Everest заявила о взломе Citizens Bank и, по её словам, получила данные и внутренние таблицы примерно по 3,4 миллиона транзакций. На сайте утечек был установлен обратный отсчёт до 28 апреля 2026 года - видимо, дата публикации данных. Группировка Prinz Eugen утверждает, что выкрала 1,2 терабайта информации из Standard Bank, в том числе более 154 миллионов записей из баз данных SQL, и начала поэтапную публикацию файлов. Qilin, в свою очередь, заявила о взломе Manulife Wealth & Asset Management, но масштаб утечки остаётся неясным.

Отдельно наблюдается продажа доступа к инфраструктуре финансовых компаний. Например, на теневых форумах предлагается root-доступ к файрволу на базе Linux, принадлежащему крупной финансовой фирме из США, всего за 400 долларов. Доступ к основному API глобальной компании по обработке финансовых транзакций стоит уже 80 000 долларов в криптовалюте Monero. Кроме того, уязвимость IDOR (небезопасная прямая ссылка на объект, позволяющая получать данные других пользователей без авторизации) в латиноамериканской финансовой организации продаётся за 10 000 долларов. Продавец уверяет, что через неё можно получить доступ к данным примерно двух миллионов клиентов. Подобные случаи могут привести к масштабным утечкам, заражениям вымогателями и мошенничеству.

Для специалистов по информационной безопасности финансовая отрасль остаётся зоной повышенного внимания. Необходимо регулярно обновлять программное обеспечение, особенно серверные решения для электронного документооборота, а также тщательно фильтровать фишинговые письма. Мониторинг даркнета и обучение сотрудников остаются ключевыми мерами защиты. К сожалению, атаки не прекратятся, а лишь будут усложняться. Осознание текущей картины угроз - первый шаг к тому, чтобы не стать следующей жертвой.

MD5

• 15adac4d6fc1bddb0c940cdc0c6605b4
• 53636c80d43a3c461dc8a3d2a2f2d4e1
• 750173f1b36e502ff17e2c5eec03c602
• 8edc77fb36bf80bb52d158cf9043cecd
• b15a55f9a23998b1976622bd3b9a3ad9