Eind december zijn werknemers van zes verschillende Russische banken het doelwit van een geraffineerde e-mailaanval geworden, zo meldt beveiligingsbedrijf Symantec. De e-mails leken afkomstig van de Centrale Bank van Rusland en zouden zogenaamd een baanaanbieding bevatten.

In werkelijkheid ging het om een Trojaans paard genaamd Ratopak, dat aanvallers volledige controle over computers geeft. Om de e-mails legitiem te laten lijken werd er een domeinnaam geregistreerd die erg op die van de Centrale Bank van Rusland leek. De officiële domeinnaam is cbr.ru. De aanvallers registreerden het domein cbr.com.ru. In de e-mails werd er gelinkt naar een archiefbestand op dit domein. Het archiefbestand opende als afleiding een nepdocument en installeerde de malware.

De e-mails zouden door iemand met Russisch als moedertaal zijn geschreven, aldus Symantec. Of de aanval succesvol was is onduidelijk. Het beveiligingsbedrijf spreekt over "getroffen" computers, die voornamelijk werden gebruikt voor het uitwisselen van belastingdocumenten met de Russische overheid. De malware controleerde ook de taalinstelling. In het geval het niet om een Russische of Oekraïense computer ging, stopte de malware de aanval.

Wat het doel van de aanval was is nog altijd onduidelijk, hoewel die volgens Symantec 'financieel gemotiveerd' lijkt te zijn. Om dergelijke aanvallen te voorkomen krijgen internetgebruikers het advies geen links of bijlagen in ongevraagde e-mails te openen en ervoor te zorgen dat alle software up-to-date is.