Как пояснил специалист компании RiskIQ Йонатан Клейнсма (Yonathan Klijnsma), при очередной своей спиэр-фишинговой рассылке (фишинговой рассылке внутри организации как правило от имени руководства) операторы Cobalt «нечаянно» поместили список адресатов прямо в поле "To", а не в скрытую копию ("BCC").
Как следствие, эксперты теперь могут определить, кого пытается атаковать Cobalt, и предупредить всех потенциальных жертв.
По данным Клейнсма, объектами атак стали сотрудники финансовых учреждений по всему миру. Наибольшее число атакованных, однако, приходится на граждан России и Турции.
Изменение условийСамо по себе вредоносное письмо содержит только заголовок «Изменение условий» (Change of Terms) и RTF-файл, в котором якобы содержатся новые условия работы с межбанковской системой SWIFT.
Внутри файла располагается эксплойт к недавно выявленной уязвимости в старом редакторе формул Microsoft (CVE-2017-11882).
Все может быть непростоКлейнсма, однако, не уверен, что хакеры из Cobalt совершили свою ошибку непреднамеренно.
Аналогичный казус случился в марте 2017 г., когда, по данным Клейнсма, были атакованы сразу все банки Казахстана.
Скриншот фишингового письма Cobalt с адресами сотрудников Казкоммерцбанка