Эксперты обнаружили отравление поисковой выдачи как способ атак на российских бухгалтеров
Группировка Watch Wolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. Для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов, говорится в исследовании BI.ZONE.
Злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning, объяснили эксперты. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов, причем не с самого сайта, а с файлообменника мессенджера Discord.
На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью Watch Wolf выводит средства со счетов компании.