"Операция Buhtrap" нацелена на российские банки

Логотип компании
10.04.2015
"Операция Buhtrap" нацелена на российские банки
Эксперты ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

Эксперты ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%).

"Операция Buhtrap" нацелена на российские банки. Рис. 1

География заражения

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

"Операция Buhtrap" нацелена на российские банки. Рис. 2

Фишинговый документ

"Операция Buhtrap" нацелена на российские банки. Рис. 3

Другая модификация фишингового документа

Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.

Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Проект «Экономика данных» обещает упростить жизнь: сделать госуслуги доступнее, Интернет — ближе даже к самым удаленным регионам, а проблемы с цифровым неравенством — менее заметными. Развитие искусственного интеллекта, поддержка ИТ-компаний и обучение специалистов — все это части большого плана, чтобы в будущем Россия могла уверенно войти в число цифровых лидеров. Как эти идеи будут работать на практике и что они изменят для каждого из нас? В интервью журналу IT Manager директор департамента цифровой трансформации и координации бюджетных расходов Минцифры России Алексей Чукарин рассказал, как данные стали ключевым ресурсом, трансформируя экономику и государственное управление.

Источник: Пресс-служба ESET

Похожие статьи