2023: Хакеры украли данные сотен тысяч клиентов одного из крупнейших банков Колумбии
3 января 2023 года компания по ИТ-безопасности Qualys раскрыла детали крайне запутанной киберкампании, в ходе которой злоумышленники распространяют вредоносную программу BitRAT.
Киберпреступники рассылают фишинговые письма с вредоносным вложением в виде файла Excel. Такие электронные сообщения тщательно персонализированы. Как удалось установить, при формировании писем хакеры используют данные, украденные у одного из крупнейших банков Колумбии. Во время взлома были похищены 418 777 строк конфиденциальной информации о клиентах с такими подробностями, как номера Cedula (колумбийское национальное удостоверение личности), адреса электронной почты, номера телефонов, имена, платёжные записи, размер заработной платы и пр. Пользователи с гораздо большей вероятностью попадутся на уловку фишеров, получив персонализированное письмо c информацией, которая доступна только их банку или доверенной организации.
Механизм дроппера в приложенном файле Excel довольно сложен. Выполняется сильно запутанный макрос, скрытый внутри документа: он генерирует модуль .inf из сотен массивов, которые восстанавливаются с помощью арифметических операций. Затем окончательный файл .inf выполняется посредством библиотеки advpack.dll. Файл .inf содержит закодированный загрузчик второго этапа в виде DLL-библиотеки. В конечном итоге на компьютер жертвы из репозитория GitHub загружается зловред BitRAT.
При помощи BitRAT злоумышленники могут выполнять самые разные операции. Троян способен осуществлять кражу данных, кейлогинг, запись с веб-камеры и микрофона, запускать другие вредоносные программы. Кроме того, BitRAT позволяет проводить DDoS-атаки и скрытно выполнять майнинг криптовалюты Monero. На подпольных форумах BitRAT предлагается по цене около $20.[1]
