Две киберпреступные группировки объединили усилия, заключив взаимовыгодный пакт.
Так утверждают исследователи из IBM X-Force, которые обнаружили следы киберпреступной группировки FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Группировка FIN6 специализируется на похищении данных через PoS-терминалы и сайты электронной коммерции в США и Европе. TrickBot же начинал как банковский троян, но со временем обзавелся и другими функциями, в том числе функцией похищения учетных данных из электронной почты, браузеров и приложений.
Зловред, который используется в атаках, Anchor известен как минимум с 2018 года, а его создателями предположительно являются разработчики TrickBot. Anchor распространяется в виде модуля TrickBot, состоит из множества подмодулей и представляет собой инструмент для атак «все-в-одном». Фреймворком также пользовалась северокорейская APT-группа Lazarus.
С конца прошлого года исследователи зафиксировали волну атак с использованием Anchor и PowerTrick – еще одного модуля TrickBot. В основном пострадали корпоративные сети, в частности PoS-терминалы. После заражения системы через фишинговое письмо операторы TrickBot продают доступ к ней участникам FIN6, которые затем с помощью Anchor и PowerTrick проникают глубже в атакуемые сети.
В 2019 году киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы и воровством миллионов кредиток, расширила сферу деятельности. Теперь, по данным экспертов из Fire Eye, в ее арсенал входят показавшее себя на практике вымогательское ПО LockerGoga и шифровальщик Ryuk из арсенала Lazarus.
В 2019 году TrickBot’ом были заражены не менее 250 миллионов устройств. Кроме того, отмечается, что вирус способен отключать механизмы защиты от вирусов, встроенные разработчиком в саму операционную систему.
Читайте также на АКБ:
Банкер TrickBot притворяется антивирусом и ворует деньги в обход 2ФА