Группировка Watch Wolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. Но делает она это нестандартно: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов.
Злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причем не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью Watch Wolf выводит средства со счетов компании.
Олег Скулкин, руководитель управления киберразведки BI.ZONE, прокомментировал: «Наша команда следит за Watch Wolf с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход. Такой сценарий мы фиксируем впервые. Это доказывает, что бизнес должен быть в курсе трендов в технике и тактике атак, чтобы защитить активы. Также стоит отметить, что группировка распространяет троян Buhtrap, инциденты с которым часто заканчиваются значительными убытками. За последние 9 лет с помощью этого вредоноса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд рублей».
Чтобы защититься от такого рода атак, можно использовать специализированные сервисы для защиты DNS-трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках. Выявлять нелегитимные обращения помогут не только превентивные средства, но и центр мониторинга кибербезопасности.