Письма содержали вредоносный Excel-файл с украденными банковскими данными и трояном BitRAT.
https://www.securitylab.ru/upload/ib...41ztc0z6j1.jpg
Фишинговую кампанию обнаружили специалисты ИБ-компании Qualys. По их словам, неизвестные хакеры взломал IT-инфраструктуру колумбийского кооперативного банка, используя украденную у него информацию для создания убедительных фишинговых писем, на которые жертва точно нажмет и откроет вредоносный Excel-файл. В нем был макрос, который хакеры используют для загрузки WinHTTP.dll. Эта библиотека вытаскивает полезную нагрузку трояна с репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою грязную работу.
Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции. Анализ обнаруженных данных показал, что в руки хакеров попали:<ul><li>Номера удостоверений личности граждан Колумбии;</li>
</ul><ul><li>Адреса электронной почты;</li>
</ul><ul><li>Номера телефонов;</li>
</ul><ul><li>Имена клиентов;</li>
</ul><ul><li>История платежей;</li>
</ul><ul><li>Информация о зарплате;</li>
</ul><ul><li>Физические адреса.</li>
</ul>Пока эта информация не всплывала на каких-либо даркнет/клирнет-форумах, из чего специалисты сделали вывод, что злоумышленники добыли эту информацию не для продажи, а для проведения своих киберпреступных операций.