BI.ZONE обнаружила отравление поисковой выдачи как способ атак на российских бухгалтеров

Группировка Watch Wolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. Но делает она это нестандартно: для атаки используется не фишинговая рассылка, а SEO‑продвижение мошеннических ресурсов

10 апреля 2023 г.

Злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.

Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью Watch Wolf выводит средства со счетов компании.

Наша команда следит за Watch Wolf с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход. Такой сценарий мы фиксируем впервые. Это доказывает, что бизнес должен быть в курсе трендов в технике и тактике атак, чтобы защитить активы. Также стоит отметить, что группировка распространяет троян Buhtrap, инциденты с которым часто заканчиваются значительными убытками. За последние 9 лет с помощью этого вредоноса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд рублей.

Олег Скулкин

Руководитель управления киберразведки BI.ZONE

Чтобы защититься от такого рода атак, можно использовать специализированные сервисы для защиты DNS‑трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках. Выявлять нелегитимные обращения помогут не только превентивные средства, но и центр мониторинга кибербезопасности.

Подробнее об атаке мы рассказали в статье.

@media only screen and (min-width: 320px) and (max-width: 370px) { .articleDetail .quote__authorName, .articleDetail .quote__text, .eventProgramm__date, .eventProgramm__title, .fs-h5, .h5, .headBlock__text, .headSection--news .headSection__text, .headSection__text, .newsDetail .quote__authorName, .newsDetail .quote__text, .participants__title, .popup__title, .sectionFullImage__text, .stepList .button, .stepList .button span, .stepList__title, .toggleBox .iconLine__title, .toggleBox__title, div.card__title, div.cFiltered__length, div.productDetail__subtitle, div.review__authorName, div.timer__title, div.toggleBox .iconLine__title, div.toggleBox__title, div.toggleEvent__bannerTitle, div.v-banner__title, h5 { font-size: 20px; line-height: 22px; } }