Группировка WatchWolf похищает деньги со счетов компаний, распространяя вредоносное ПО на компьютеры бухгалтеров. И делает она это нестандартным способом: для атаки используется не фишинговая рассылка, а SEO-продвижение мошеннических ресурсов, сообщает BI.ZONE. 

В компании рассказали, что злоумышленники отравляют поисковую выдачу, то есть применяют SEO poisoning. Они насыщают свои ресурсы ключевыми словами и покупают контекстную рекламу — всё это помогает выводить такие сайты на первую страницу результатов поиска.

«Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (.doc или .xls), причём не с самого сайта, а с файлообменника мессенджера Discord. На самом деле в папке загрузки оказывается архив, после открытия которого на компьютер загружается ПО DarkWatchman. Оно незаметно для пользователя собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает троянскую программу Buhtrap. С ее помощью WatchWolf выводит средства со счетов компании», — объяснили в BI.ZONE.

По словам руководителя управления киберразведки BI.ZONE Олега Скулкина, за WatchWolf в компании следят с ноября 2021 года. Сначала группировка атаковала бизнес через фишинговые рассылки, но сейчас преступники изменили подход, и подобный сценарий фиксируется впервые.

Также он отметил, что группировка распространяет троян Buhtrap, инциденты с которым часто заканчиваются значительными убытками: за последние девять лет с помощью этого вредоноса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд рублей.

Для защиты от такого рода атак можно использовать специализированные сервисы для защиты DNS-трафика, проверяющие на легитимность обращения во внешнюю сеть. Подобные решения могут получать данные от платформ киберразведки и блокируют запросы пользователей, если требуемый ресурс оказался в черных списках, заключили в BI.ZONE.