ИТ-Новости:

Масштабная кибератака Buhtrap нацелена на российские банки

Компания ESET раскрыла кибершпионскую атаку «Операция Buhtrap», нацеленную в первую очередь на российские финансовые организации.

Об этом пишут Новости ИТ со ссылкой на 3D-News.

Сообщается, что злоумышленники действовали в течение как минимум одного года. Приоритетной целью атаки стали российские банки — на них пришлось почти 90 % всех зафиксированных случаев заражения.

Для проникновения в атакуемую систему киберпреступники рассылали фишинговые письма с прикреплённым документом в формате Microsoft Word. Такие сообщения, в частности, маскировались под счёт за оказание неких услуг и под контракт мобильного оператора «МегаФон».

При попытке открытия файла запускается эксплойт для одной из уязвимостей в Word (CVE-2012-0158), в результате чего на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows и затем скачивает с удалённого сервера архив 7z с вредоносными модулями. Любопытно, что многие такие компоненты подписаны действительными цифровыми сертификатами, выданными в том числе зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над заражённым ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP. Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage.

На финальном этапе на инфицированный компьютер загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удалённым командным сервером. Шпион способен отслеживать и передавать злоумышленникам нажатия клавиш и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.
Количество пострадавших в ходе «Операции Buhtrap» организаций и размер финансового ущерба не уточняются.

<-назад