В общей сложности опасные письма получили более 80 тыс. пользователей. Это были сотрудники банков, крупных платежных систем и других российских кредитно-финансовых организаций.
В чем заключалась ловушкаС 19 по 20 февраля в Москве должен состояться XIX Международный форум iFin-2019 «Электронные финансовые услуги и технологии». Злоумышленники воспользовались этим, чтобы замаскировать вредоносные письма под приглашения на форум. В Group-IB отмечают, что ранее участники Silence такую уловку не использовали.
Реальные организаторы форума разослали уведомления о его проведении 16 января около 9:00 по Москве. Через несколько часов после этого Silence разослала фальшивые приглашения на форум, которые содержали переделанный текст настоящих приглашений. Исследователи безопасности отмечают некоторую безграмотность текста письма хакеров. Автором опасной рассылки был указан Forum iFin-2019, но она велась с адреса info@bankuco[.]com.
В рассылке злоумышленники предлагали пользователям заполнить анкету, прикрепленную к письму в архиве, и отправить ее им. За это они обещали два бесплатных пригласительных на форум и возможность разместить название банка жертвы на официальном портале форума. ZIP-архив, приложенной к письму, содержал помимо приглашения вредоносное вложение Silence.Downloader, он же TrueBot. Этот инструмент использует только Silence, поясняют эксперты.
Группировка Silence считается одним из самых опасных хакерских коллективов в России