В последние годы киберпреступники активно используют набор веб-инъекций drIBAN для атак на корпоративные банковские системы, подменяя реквизиты переводов и перенаправляя деньги на подконтрольные счета. Этот инструмент, появившийся еще в 2019 году, продолжает эволюционировать, становясь все более изощренным и опасным. Основная цель злоумышленников - рабочие станции Windows в корпоративной среде, где сотрудники имеют доступ к банковским операциям.
Описание
Техника веб-инъекций - один из ключевых методов, применяемых в подобных атаках. Она позволяет изменять поведение легитимных веб-страниц, добавляя вредоносный код и перехватывая HTTP-запросы. Особенность drIBAN заключается в использовании системы ATS (Automatic Transfer System), которая обходит многофакторную аутентификацию (MFA) и другие механизмы проверки, применяемые банками. Это делает атаки особенно эффективными, так как даже защищенные транзакции могут быть перенаправлены без ведома пользователя.
Первые крупные кампании с использованием drIBAN были зафиксированы в Италии в 2019–2020 годах, но после временного затишья в 2021 году последовала новая волна атак, затронувшая тысячи пользователей. В этот период злоумышленники значительно усовершенствовали свои методы, перейдя от стандартных банковских троянов к более сложным схемам, напоминающим атаки APT (Advanced Persistent Threat). Это позволило им долгое время оставаться незамеченными, особенно в случаях, когда банки не успевали обновлять защитные механизмы.
Аналитики отмечают возможную связь между операторами drIBAN и группой TA-554, которая также действует в Италии, Великобритании и Канаде. Сходство в методах работы, включая использование загрузчика sLoad, указывает на скоординированные действия злоумышленников. sLoad - это мощный инструмент, который собирает системную информацию, делает скриншоты и загружает дополнительные вредоносные модули. Для маскировки он активно применяет техники Living Off The Land (LOLBins), используя легитимные инструменты Windows, такие как PowerShell и BITSAdmin, чтобы избежать обнаружения антивирусами.
Первоначальное заражение чаще всего происходит через фишинговые письма, маскирующиеся под официальную переписку. В Италии злоумышленники активно используют так называемые "сертифицированные электронные письма" (PEC), которые имеют юридическую силу и внушают доверие получателям. Вложения содержат безобидные на первый взгляд файлы (PDF, PNG), а также исполняемые скрипты (.wsf, .vbs, .ps1), которые загружают sLoad. После успешного внедрения вредоносного ПО начинается фаза разведки: система проверяется на наличие признаков виртуальных машин или песочниц, а также анализируется кэш DNS на предмет посещения корпоративных банковских сайтов.
Если машина признается "перспективной", на нее загружается банковский троян Ramnit, известный своей сложностью и устойчивостью. В результате злоумышленники получают полный контроль над финансовыми операциями жертвы, изменяя реквизиты переводов и перенаправляя средства на подставные счета.
Эксперты предупреждают, что подобные атаки будут только нарастать, так как киберпреступники постоянно совершенствуют свои инструменты. Банкам и корпоративным клиентам рекомендуется усилить защиту, внедряя более строгие методы проверки транзакций и обучая сотрудников распознавать фишинговые атаки. В противном случае финансовые потери могут достичь катастрофических масштабов.
Индикаторы компрометации
Domains
- guituk.eu
- jopkerto.tech
MD5
- 2c7a9e3fe582667826510d70b8c79f19
- 6c3db9101ead9e8461ae3846c43aa8ec
- 7e9280027235462727a9a351429725c6
- d5299434aa5119814df6f50d9ddce8e1
