"Операция Buhtrap" нацелена на российские банки

Логотип компании
10.04.2015
"Операция Buhtrap" нацелена на российские банки
Эксперты ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

Эксперты ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%).

"Операция Buhtrap" нацелена на российские банки. Рис. 1

География заражения

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

"Операция Buhtrap" нацелена на российские банки. Рис. 2

Фишинговый документ

"Операция Buhtrap" нацелена на российские банки. Рис. 3

Другая модификация фишингового документа

Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.

Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Уже в 2023 году около 46% строительных компаний считали цифровизацию приоритетным направлением развития. С 1 июля 2024 года государство обязало девелоперов использовать BIM-модели для проектирования и строительства жилых объектов, а значит таких компаний станет еще больше. У ставших на путь цифровизации компаний есть два основных варианта: разработать собственное IT-решение или воспользоваться готовым продуктом. О плюсах и минусах каждого подхода рассказывает сооснователь цифровой платформы для управления строительством Pragmacore Кирилл Поляков.

Источник: Пресс-служба ESET

Похожие статьи