Особенность атаки заключалась в том, что киберпреступники впервые выдавали себя за FinCERT – специальный отдел в структуре Центрального банка Российской Федерации, созданный около года назад для информирования российских банков об инцидентах информационной безопасности в финансовой сфере.
Чтобы провести атаку, злоумышленники зарегистрировали доменное имя fincert.net, собрали базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT.
Письма рассылались адресно: каждое сообщение начиналось с персонального обращения к конкретному получателю. Внутри были инструкции по запуску вложенного вредоносного содержимого. Когда вредоносный макрос запускали, он пытался соединиться с удаленным ресурсом для загрузки файла, позволяющего получить доступ к информационной системе банка.
