Раскрыта масштабная кибер­атака на российские банки

Согласно стати­стике между­на­родной антиви­русной компании ESET, большинство заражений пришлось на пользо­ва­телей из России (88%).

Эксперты компании сообщают сегодня, что кибер­атака под назанием «Операция Buhtrap», нацеленная на российский бизнес, раскрыта. Она длилась как минимум год, и ее приори­тетной целью стали российские банки. 

Атакующие устанав­ливали вредо­носное ПО на компьютеры, исполь­зующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012 – 0158, который рассы­лался в прило­жении к фишин­говому письму. Один из обнару­женных образцов вредо­носного документа имити­ровал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14 – 115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

Если пользо­ватель открывает вредо­носный документ на уязвимой системе, на ПК устанав­ли­вается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредо­носными модулями. В некоторых случаях, чтобы обойти автома­ти­ческие системы анализа и вирту­альные машины, загрузчик устанав­ливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой саморас­па­ко­вы­ва­ю­щиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действи­тельными цифровыми серти­фи­катами, которые были отозваны после обращения специ­а­листов ESET. Эксперты компании обнаружили четыре серти­фиката, выданные зареги­стри­ро­ванным в Москве юриди­ческим лицам.

Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» исполь­зуются программы с испол­ня­емыми файлами mimi.exe и xtm.exe. Они позволяют получить или восста­новить пароль от Windows, создать новый аккаунт в опера­ци­онной системе, включить сервис RDP.

Далее с помощью испол­ня­емого файла impack.exe осуществ­ляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загру­жается банковское шпионское ПО с названием испол­ня­емого файла pn_pack.exe. Программа специ­а­ли­зи­руется на краже данных и взаимо­дей­ствии с удаленным командным сервером. Ее запуск выпол­няется с исполь­зо­ванием известного продукта Yandex Punto. Шпионское ПО может отсле­живать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содер­жимое буфера обмена, а также перечислять смарт-карты, присут­ствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с приме­нением банков­ского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, харак­терные для тарге­ти­ро­ванных атак, не связанных с финан­совым мошенничеством.

«Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компро­ме­тируют один ПК компании, отправив сотруднику фишин­говое сообщение с эксплойтом. Как только вредо­носная программа будет установлена, атакующие восполь­зуются программными инстру­ментами, чтобы расширить свои полно­мочия в системе и выполнять другие задачи: компро­ме­ти­ровать остальные компьютеры, шпионить за пользо­ва­телем и отсле­живать его банковские транзакции».

Поделиться: