Atak jest podobny do kampanii Carbanak. Na skrzynkę mailową pracowników banków przychodzi wiadomość phishingowa, dzięki której cyberprzestępcy dostają się do infrastruktury firmy.
W przypadku Silence wiadomości e-mail zostały przygotowane bardzo starannie. Po infekcji i dokonaniu analizy infrastruktury, atakujący wysyłali umowy do partnerów banku. Nowa ofiara miała otrzymać wiadomość phishingową z adresu prawdziwej osoby, która pracuje w danym banku. Dzięki temu wzrastało prawdopodobieństwo kliknięcia złośliwego załącznika.
Działanie Silence
W załączniku, który teoretycznie miał zawierać umowę, w rzeczywistości znajdował się plik z rozszerzeniem .chm. Osadzono w nim złośliwy kod, który ładuje i aktywuje droppera. Ten z kolei ładuje moduły trojana działające pod postacią usług systemu Windows.
Moduły te dotyczyły głównie sterowania i monitorowania, rejestrowania działań widocznych na ekranie, a także komunikacji z serwerami kontroli. Był też program do zdalnego wykonywania poleceń.
Dzięki nim atakujący mogli gromadzić dane na temat zainfekowanej sieci i zapisywać zrzuty ekranu z komputerów pracowników. Gdy intruz miał pełny obraz tego, jak działa przepływ danych w organizacji, wydawali polecenie przelania środków finansowych na ich własne konto.
Choć Silence atakuje głównie instytucje finansowe, niewykluczone, że zmodyfikowana wersja wirusa obierze na cel inne firmy na świecie. Obrona przed tym szkodnikiem jest trudna, gdyż cyberprzestępcy wykorzystują realne adresy e-mail do uśpienia czujności pracowników.
Kaspersky Lab sugeruje, by uczulać pracowników firm na takie zagrożenia oraz stosować specjalistyczne oprogramowanie antywirusowe do wykrywania anomalii w sieci na głębokim poziomie – np. Kaspersky Anti Targeted Attack.
Źródło: Kaspersky Lab