Рост активности банковских троянов в сфере малого и среднего бизнеса стал особенно заметным в январе – феврале.
Эксперты «Лаборатории Касперского» предупредили о возросшей активности банковских троянов Buhtrap и RTM. В зоне особого риска — пользователи из России, на которых приходится до 90% атак.
Операторов зловредов в основном интересуют корпоративные банковские счета малого и среднего бизнеса. Попытки заражения зафиксированы в региональных IT-компаниях, юридических агентствах, на небольших производствах.
Аналитики отметили растущий тренд еще во второй половине 2018 года. Если во II квартале троян RTM атаковал всего 318 пользователей, то в следующие три месяца эта цифра уже приблизилась к 47 тыс., а к концу года превысила 90 тыс. В январе-феврале 2019-го атаки RTM были заблокированы у 30 тыс. пользователей, что составило более 20% от общего результата по итогам 2018-го. Вся статистика получена анонимно с антивирусных продуктов «Лаборатории Касперского», установленных по всему миру.
В III квартале прошлого года активность Buhtrap выросла до 1488 инцидентов, вдвое превысив показатели предыдущих трех месяцев. Хотя под конец года количество атакованных пользователей упало ниже отметки в 550 случаев, с начала 2019-го этот показатель вновь пошел вверх — в январе и феврале антивирусные системы обнаружили уже 200 попыток заражения.
Аналитики «Лаборатории Касперского» напоминают, что оба вредоноса способны обеспечить преступникам полный контроль над зараженной машиной. Получив доступ к банковским счетам, злоумышленники выводят средства транзакциями до 1 млн руб. Для этого они подменяют платежные реквизиты или совершают переводы вручную через удаленное подключение.
Распространяются банкеры разными способами. Доставка Buhtrap зачастую осуществляется через эксплойт, внедренный в новостной сайт. Если пользователь заходит на зараженную страницу с помощью Internet Explorer, на машину может загрузиться вредоносный скрипт. При этом злоумышленникам удается обмануть некоторые антивирусные системы за счет применения защищенного протокола WebSocket.
Распространители RTM делают ставку на фишинговые письма, имитирующие переписку с финансовыми структурами — «Заявка на возврат», «Копии документов за прошлый месяц», «Просьба оплатить дебиторскую задолженность». Троян попадает на компьютер, когда пользователь открывает зараженное вложение или проходит по ссылке в тексте письма. В некоторых случаях RTM выступает в качестве второстепенной нагрузки в рамках кампаний Buhtrap.
Учитывая, что атаки зловредов нацелены на бухгалтеров и финансистов, эксперты призывают ИБ-специалистов компаний уделить особое внимание защите именно этих отделов.
«Для защиты от данной угрозы следует установить последние обновления и защитные решения с модулем поведенческого детектирования, запретить запуск утилит удаленного администрирования на таких компьютерах, если это возможно», — рекомендует ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.