Первые зараженные сообщения были зафиксированы 16 января, через несколько часов после рассылки официального приглашения на форум. По мнению аналитиков компании Group-IB, обнаруживших атаку, в своих письмах злоумышленники использовали отредактированную версию реального анонса, в которой получателей просили заполнить приложенную анкету. За это пользователям обещали бесплатные пригласительные билеты и размещение названия их банка на сайте форума.

Помимо этой рассылки в рамках январской кампании специалисты Group-IB обнаружили еще две — от имени несуществующих банков «Банк ICA» и «Банкуралпром». В тексте содержалась просьба оперативно открыть корреспондентский счет, во вложении якобы находился договор.

Во всех случаях при открытии приложенного ZIP-архива на компьютер жертвы загружался троян Silence, он же TrueBot. При помощи этого зловреда преступники закрепляются в зараженной системе и мониторят работу организации. Собрав необходимую информацию, они крадут средства со счетов банка. TrueBot ранее фигурировал исключительно в атаках группировки Silence. Это позволило экспертам сразу определить организатора кампании.

Злоумышленники использовали в своих письмах реальное приглашение на форум и правдоподобный запрос на открытие корреспондентского счета. По мнению аналитиков, это говорит о том, что участники Silence имеют прямое отношение к финансовым компаниям.

Ранее, незадолго перед Новым годом, злоумышленники провели атаки от лица реально существующей фармацевтической компании. Преступники продемонстрировали глубокое знание устройства этой организации, в письмах сообщалось множество деталей. Чтобы повысить вероятность успеха, мошенники торопили жертв с принятием решения.