Раскрыта масштабная кибер­атака на российские банки

Раскрыта масштабная кибератака на российские банки | CityTraffic

Согласно стати­стике между­на­родной антиви­русной компании ESET, большинство заражений пришлось на пользо­ва­телей из России (88%).

Эксперты компании сообщают сегодня, что кибер­атака под назанием “Операция Buhtrap”, нацеленная на российский бизнес, раскрыта. Она длилась как минимум год, и ее приори­тетной целью стали российские банки. 

Атакующие устанав­ливали вредо­носное ПО на компьютеры, исполь­зующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012 – 0158, который рассы­лался в прило­жении к фишин­говому письму. Один из обнару­женных образцов вредо­носного документа имити­ровал счет за оказание услуг (файл под названием “Счет № 522375-ФЛОРЛ-14 – 115.doc”), второй – контракт мобильного оператора “Мегафон” (“kontrakt87.doc”).

Если пользо­ватель открывает вредо­носный документ на уязвимой системе, на ПК устанав­ли­вается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредо­носными модулями. В некоторых случаях, чтобы обойти автома­ти­ческие системы анализа и вирту­альные машины, загрузчик устанав­ливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой саморас­па­ко­вы­ва­ю­щиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действи­тельными цифровыми серти­фи­катами, которые были отозваны после обращения специ­а­листов ESET. Эксперты компании обнаружили четыре серти­фиката, выданные зареги­стри­ро­ванным в Москве юриди­ческим лицам.

Чтобы установить контроль над зараженным ПК, в “Операции Buhtrap” исполь­зуются программы с испол­ня­емыми файлами mimi.exe и xtm.exe. Они позволяют получить или восста­новить пароль от Windows, создать новый аккаунт в опера­ци­онной системе, включить сервис RDP.

Далее с помощью испол­ня­емого файла impack.exe осуществ­ляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загру­жается банковское шпионское ПО с названием испол­ня­емого файла pn_pack.exe. Программа специ­а­ли­зи­руется на краже данных и взаимо­дей­ствии с удаленным командным сервером. Ее запуск выпол­няется с исполь­зо­ванием известного продукта Yandex Punto. Шпионское ПО может отсле­живать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содер­жимое буфера обмена, а также перечислять смарт-карты, присут­ствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с приме­нением банков­ского трояна Anunak/Carbanak. Злоумышленники, которые стоят за “Операцией Buhtrap”, используют методы, харак­терные для тарге­ти­ро­ванных атак, не связанных с финан­совым мошенничеством.

Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компро­ме­тируют один ПК компании, отправив сотруднику фишин­говое сообщение с эксплойтом. Как только вредо­носная программа будет установлена, атакующие восполь­зуются программными инстру­ментами, чтобы расширить свои полно­мочия в системе и выполнять другие задачи: компро­ме­ти­ровать остальные компьютеры, шпионить за пользо­ва­телем и отсле­живать его банковские транзакции”.

Поделиться:

Следующая Новость

К Дню Победы в Тольятти отмоют даже торговые павильоны

Пт Апр 10 , 2015
Мэр города Сергей Андреев подписал поста­нов­ление о прове­дении дней “Тольятти – чистый город” в 2015 году. Согласно документу до 6 мая должны быть приведены в порядок в соответ­ствии с санитарными нормами и правилами терри­тории, приле­гающих к промыш­ленным предпри­ятиям, предпри­ятиям всех форм собствен­ности, органи­зациям, учреждениям, объектам образо­вания, здраво­охра­нения, культуры, торговли, общественного питания, рынкам, спортивным соору­жениям (в т.ч. ГСК, автостоянки, садовод­ческие кооперативы). А […]
К Дню Победы в Тольятти отмоют даже торговые павильоны | CityTraffic

Рубрики