В настоящее время цель преступников неясна, однако, вероятнее всего, они преследуют финансовую выгоду.
Специалисты компании Symantec предупредили о фишинговой кампании, направленной на сотрудников российских банков. В ходе кампании злоумышленники распространяют троян Ratopak, позволяющий осуществлять различные действия, в том числе записывать нажатия клавиш, похищать информацию, а также загружать дополнительное вредоносное ПО.
По данным Symantec, кампания против шести российских банков стартовала в декабре 2015 года. С начала зимы неизвестные рассылают служащим банков электронные письма якобы от лица представителей Центробанка России с предложением о трудоустройстве. Для усыпления бдительности получателей злоумышленники зарегистрировали домен cbr.com.ru, тогда как настоящий сайт ЦБ располагается по адресу cbr.ru. Все подробности о вакансии предлагается узнать, загрузив защищенный паролем ZIP-архив (пароль указывается в письме), на самом деле содержащий троян Ratopak.
Помимо прочего, вредонос проверяет основной язык системы, и если им является не русский или украинский, Ratopak прекращает работу.
Как отмечают исследователи, многие инфицированные компьютеры использовались для ведения бухгалтерской отчетности или налоговой документации. В ряде случаев для ведения электронной отчетности применялось ПО «СБиС», и ссылки вида «buh.sbis.ru/buh/» не вызывали у сотрудников банков подозрений, чем и воспользовались злоумышленники. Ниже перечислены домены, используемые преступниками