ESET: операция Buhtrap нацелена на российские банки
10 апр 2015 11:00 #13387
от ICT
ICT создал тему: ESET: операция Buhtrap нацелена на российские банки
«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%). Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй — контракт мобильного оператора «Мегафон» («kontrakt87.doc»). Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar. Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам. Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP. Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой. После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе. Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В компании ESET назвали причину эффективности хакерских атак на российские банки | 15.52 | Вторник, 13 декабря 2016 |
Silence атаковала российские банки | 10.68 | Понедельник, 21 января 2019 |
Раскрыта масштабная кибератака на российские банки | 10.57 | Четверг, 09 апреля 2015 |
"Российские хакеры" готовят атаку на банки США | 10.57 | Среда, 13 мая 2015 |
Российские банки атаковали, требуя биткойны | 10.57 | Понедельник, 05 октября 2015 |
Совершена мощная кибератака на российские банки | 10.57 | Пятница, 18 января 2019 |
Что ждет российские банки в 2020 году | 10.57 | Понедельник, 06 января 2020 |
Российские банки за год доведут долю отечественного ПО до 90% | 10.57 | Понедельник, 27 марта 2023 |
Российские банки об иностранном и отечественном программном обеспечении | 10.45 | Четверг, 11 декабря 2014 |
Аналитики: "Российские хакеры" готовят атаку на банки США | 10.45 | Среда, 13 мая 2015 |