Фишинговую кампанию обнаружили специалисты ИБ-компании Qualys. По их словам, неизвестные хакеры взломал IT-инфраструктуру колумбийского кооперативного банка, используя украденную у него информацию для создания убедительных фишинговых писем, на которые жертва точно нажмет и откроет вредоносный Excel-файл. В нем был макрос, который хакеры используют для загрузки WinHTTP.dll. Эта библиотека вытаскивает полезную нагрузку трояна с репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою грязную работу.
Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции. Анализ обнаруженных данных показал, что в руки хакеров попали:
- Номера удостоверений личности граждан Колумбии;
- Адреса электронной почты;
- Номера телефонов;
- Имена клиентов;
- История платежей;
- Информация о зарплате;
- Физические адреса.
Пока эта информация не всплывала на каких-либо даркнет/клирнет-форумах, из чего специалисты сделали вывод, что злоумышленники добыли эту информацию не для продажи, а для проведения своих киберпреступных операций.
