Во втором полугодии 2016 года исследователи ESET обнаружили уникальный набор вредоносных инструментов, используемых в атаках на финансовый сектор Украины. По мнению экспертов, целью хакерской группировки, названной ими TeleBots, является саботаж.

Применяемые хакерами техники и инструменты напоминают группировку, стоящую за атаками на украинскую энергетическую компанию «Прикарпатьеоблэнерго» и использующую вредоносное ПО BlackEnergy. По мнению специалистов, TeleBots представляет собой эволюционировавшую BlackEnergy.

Как и BlackEnergy, новое вредоносное ПО распространяется с помощью целенаправленного фишинга. Жертвам рассылались электронные письма с вложенным документом Microsoft Excel, содержащим вредоносные макросы. Тем не менее, на этот раз злоумышленники не использовали социальную инженерию с целью заставить пользователя открыть документ, а целиком и полностью полагались на случай.

Как правило, метаданные подобных документов не содержат никакой информации, проливающий свет на их авторов. Однако в данном случае они указывают на лицо, тесно связанное с русскоязычными киберпреступниками. Эксперты не исключают, что злоумышленники намеренно указали неверные данные с целью направить исследователей на ложный след.

Когда жертва активирует контент, выполняется вредоносный макрос, совпадающий с макросом, использовавшимся в атаках BlackEnergy. Его главным предназначением является загрузка и выполнение вредоносного кода. Код представляет собой загрузчик, написанный на языке Rust и предназначенный для загрузки и выполнения другого вредоносного ПО.

На финальном этапе атаки загружается бэкдор, написанный на языке Python и детектируемый как Python/TeleBot.AA trojan. Для связи с хакерами троян использует Telegram Bot API. Каждый обнаруженный исследователями образец содержит в своем коде уникальный токен, а значит, у каждого из них есть собственная учетная запись в Telegram.

На последнем этапе атаки также используется вредоносный компонент KillDisk, способный создавать собственные файлы взамен удаленных им, с теми же именами. Вместо первоначального контента данные файлы содержат одну или две строки mrR0b07 или fS0cie7y - отсылка к телесериалу «Мистер Робот».