Компания Fidelis, специализирующаяся на работе в сфере кибербезопасности, сообщила, что группировка хакеров Cobalt модернизировала вредоносную программу ThreadKit. Эта программа стала главным инструментом, с помощью которого злоумышленники проводили атаки на российские банки. Данная информация приведена в отчете, опубликованном на сайте Fidelis.

В отчете сказано, что обновленная версия ThreadKit была зафиксирована экспертами компании Fidelis во время одной из кибератак, проведенной в октябре 2018 года. Распространение вредоносного программного обеспечения осуществляется при помощи фишинговых рассылок. Это характерная схема проведения атаки, которую традиционно используют хакеры из Cobalt.

К рассылаемым электронным письмам прикладываются файлы, содержащие вредоносную программу. Эта программа создает команды или коды (эксплойты), использующие для проведения атаки имеющуюся в защите уязвимость.

Отмечается, что модернизированная версия ThreadKit содержит сложную систему передачи макросов. Загрузка вредоносного кода осуществляется отдельными частями, после чего они соединяются в один исполняемый файл. При этом троян Coblnt остался главным инструментом хакеров.

Помимо этого, злоумышленники из Cobalt позаботились и о том, чтобы скрыть следы своих атак. Новая версия вредоносного ПО не только способна «прятаться» в других объектах, но также присваивает новые имена определенным файлам. Это позволяет ей оставаться незамеченной.

Атаки хакеров из группировки Cobalt традиционно направленный, главным образом, на различные финансовые учреждения. Преступная организация получила известность еще в 2013 году. Тогда состоялась первая атака на ряд банков, в результате которой хакеры смогли перевести денежные средства с банковских счетов на свои зашифрованные криптокошельки. В марте 2018 года Европолу удалось арестовать лидера группировки. Однако это не привело к ее устранению. Другие члены преступного объединения продолжили проведение атак.

В частности, в мае 2018 года состоялась первая атака злоумышленников из Cobalt на российские банки. Атаки проводились двумя сериями, разница между которыми составила несколько дней. Вредоносное ПО распространялось через зараженный документ Word, вложенный в электронное письмо якобы от Центрального Европейского банка. Последний известный раз атака хакеров Cobalt на банк в России была зафиксирована в конце августа 2018 года.