De bende die verantwoordelijk wordt gehouden voor het hacken van meer dan 100 banken en het stelen van meer dan 1 miljard euro heeft opnieuw geraffineerde phishingmails verstuurd. Eind maart meldde Europol de aanhouding van de vermeende leider van de "Cobalt" groep.
Ondanks de arrestatie van de vermeende bendeleider is de groep nog altijd actief. De laatste aanvallen van de groep die zijn waargenomen waren gericht tegen banken in Rusland en landen van de voormalige Sovjet-Unie, zo meldt securitybedrijf Group-IB. Het is echter ook waarschijnlijk dat financiële instellingen in het westen het doelwit waren, aangezien de phishingmails in het Engels waren opgesteld, aldus de onderzoekers.
Bij een phishingaanval op 23 mei verstuurde de groep een e-mail die zogenaamd van anti-virusbedrijf Kaspersky Lab afkomstig leek. Volgens het bericht zijn er activiteiten op de computer van de ontvanger waargenomen die in strijd met bestaande wetgeving zijn. De ontvanger wordt vervolgens opgeroepen om de meegestuurde brief te lezen en uitleg te geven. Als dit niet binnen 48 uur gebeurt wordt er met maatregelen gedreigd. Het bestand waar de e-mail naar linkt is in werkelijkheid malware.
Group-IB stelt dat de e-mails waren verstuurd vanaf een .com-domein met daarin de naam Kaspersky. Deze domeinnaam was geregistreerd onder een naam die ook eerder was gebruikt voor het registreren van domeinen die de Cobalt-groep gebruikte.
Gisteren detecteerde het securitybedrijf een nieuwe phishingaanval van de groep. Dit keer ging het om een bericht dat zogenaamd van de Europese Centrale Bank (ECB) afkomstig was. Hiervoor hadden de aanvallers wederom een aparte domeinnaam geregistreerd. De e-mail bevatte een kwaadaardig Word-document dat misbruik van een bekende kwetsbaarheid in Microsoft Office maakt. Het beveiligingslek werd op 14 november vorig jaar door Microsoft gepatcht. Wanneer het document met een ongepatchte Office-versie wordt geopend zal er een backdoor worden geïnstalleerd. Volgens Group-IB laten de aanvallen zien dat de groep nog steeds actief en gevaarlijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.