Фишинговые письма замаскированы под легитимные коммерческие предложения и рассылаются преимущественно промышленным компаниям на территории РФ.
Мошенники используют стандартные фишинговые схемы: электронные письма, содержащие якобы коммерческие предложения и другие финансовые документы или ссылки на них. Отличительной особенностью атак является высокий уровень подготовки: мошенники обращаются к сотруднику по фамилии, имени и отчеству, знают его должность и сферу деятельности организации, а вся информация об источнике предложения выглядит очень правдоподобно.
Содержание писем соответствует деятельности атакуемой организации и учитывает специфику работы сотрудника — получателя письма.
Согласно собранным данным эта серия атак началась в ноябре 2017 г. и продолжается по настоящее время, при этом первые подобные атаки были зафиксированы еще в 2015 г.
Вредоносная программа, используемая в данных атаках, устанавливает в систему легитимное ПО для удаленного администрирования — TeamViewer или Remote Manipulator System/Remote Utilities (RMS). Это позволяет злоумышленникам получать удаленный контроль над зараженными системами. Используются различные техники, позволяющие скрыть заражение системы и активность установленного ПО.
По имеющимся данным, основной целью атакующих является кража денежных средств со счетов организации.
Когда злоумышленники подключаются к компьютеру жертвы, они находят и изучают документы о проводимых закупках, а также ПО для осуществления финансовых и бухгалтерских операций (бухгалтерское ПО, банк-клиент и др.). Далее злоумышленники ищут всевозможные способы для совершения финансовых махинаций, в частности подменяют реквизиты, по которым производится оплата счетов.
Чтобы сохранять доступ к системе как можно дольше, преступники используют несколько способов маскировки подозрительной активности — как от владельца устройства, так и от защитных решений.