Согласно статистике международной антивирусной компании ESET, большинство заражений пришлось на пользователей из России (88%).
Эксперты компании сообщают сегодня, что кибератака под назанием «Операция Buhtrap», нацеленная на российский бизнес, раскрыта. Она длилась как минимум год, и ее приоритетной целью стали российские банки.
Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012 – 0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14 – 115.doc»)
Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.
Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам.
Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.
Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.
После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.
Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.
«Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции».
Главный тренер самарских «Крыльев Советов» Игорь Осинькин высказался о пенальти в матче с «Оренбургом» в… Читать далее
Игра состоялась 4 мая 2024 года. Самарские «Крылья Советов» в субботу 4 мая на выезде… Читать далее
Поврежденный монумент находится в селе Малая Малышевка. Председатель Следственного комитета России Александр Бастрыкин взял на контроль… Читать далее
ДТП произошло 4 мая 2024 года. Как сообщает ГУ МВД по Самарской области, 4 мая… Читать далее
ДТП произошло 3 мая 2024 года в селе Тимофеевка. Как сообщает ГУ МВД по Самарской… Читать далее
Ранее «СитиТрафик» сообщал о том, что Председатель Следственного комитета России Александр Бастрыкин ставил на контроль… Читать далее
Ночью 5 мая 2024 года в регионе ожидаются заморозки до минус 5 градусов. Как сообщает… Читать далее
Работы проведут на территории площадью 8,7 га. Мэрия Самары согласовала комплексное развитие территории в Красноглинском… Читать далее
Трансляция будет вестись из Софийского собора в ночь на 5 мая 2024 года. В Самаре 4… Читать далее
Он использовал документы знакомых для оформления сдачи в ломбард без выкупа разных товаров, которые существовали… Читать далее
Коммунальщики предупредили горожан о плановых работах на рабочей неделе, которая начнется 6 мая 2024 года. Замена двух… Читать далее
Мужчина хотел увеличить доход и лишился 5,5 млн рублей. Инженер финансового учреждения из Красноглинского района… Читать далее
Оставаясь на нашем сайте, вы соглашаетесь с использованием политики Cookies.
Политика конфиденциальности