Отравление поисковой выдачи как способ атак на бухгалтерию

По сообщению компании BI.ZONE, ее специалисты  обнаружили, что группировка Watch Wolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры российских бухгалтеров. Но делает она это нестандартно: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов. По данным BI.ZONE, злоумышленники отравляют поисковую выдачу, т. е. применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу – все это помогает выводить такие сайты на первую страницу результатов поиска.

Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва якобы скачивает документ в одном из популярных форматов (.doc или .xls), причем не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью Watch Wolf выводит средства со счетов компании.

Как комментируют в BI.ZONE, команда компании следит за Watch Wolf с ноября 2021 г. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход. Такой сценарий фиксируется впервые. Следовательно, бизнес должен быть в курсе трендов в технике и тактике атак, чтобы защитить активы. Эксперты также отмечают, что группировка распространяет троянец Buhtrap, инциденты с которым часто заканчиваются значительными убытками.

Чтобы защититься от такого рода атак, в BI.ZONE рекомендуют использовать специализированные сервисы для защиты DNS-трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках.