Группировка WatchWolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. И делает она это нестандартным способом: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов, сообщает BI.ZONE.
В компании рассказали, что злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — всё это помогает выводить такие сайты на первую страницу результатов поиска.
«Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причём не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью WatchWolf выводит средства со счетов компании», — объяснили в BI.ZONE.
Подробнее: https://ib-bank.ru/bisjournal/news/18686