Москва
20 сентября ‘20
Воскресенье

Eset раскрыла серьезную кибератаку на российские банки

Компании Eset удалось раскрыть масштабную кибератаку на банковский сектор российского бизнеса. Так называемая «Операция Buhtrap» длилась на протяжении года и большинство заражений — 88% — коснулось именно российских пользователей.

На компьютеры с Windows на русском языке через документ Word с эксплойтом CVE-2012-0158, прилагаемый в письме рассылки, устанавливалось вредоносное ПО. Один из образцов документа имитировал счет за оказание услуг, а второй — контракт мобильного оператора «Мегафон». После того, как пользователь открывал документ, на ПК устанавливался загрузчик приложения, сообщает портал Cnet.

При начале своей работы программа осуществляет проверку ряда параметров ОС Windows, а затем с удаленного сервера скачивает архив с вредоносными модулями. Для обхода автосистем анализа загрузчик устанавливал безвредный архив с панелью Windows Live Toolbar. Вредоносные модули представляли собой самораспаковывающиеся архивы формата 7z с паролем, подписанные цифровыми сертификатами, отозванными после обращения специалистов Eset. Экспертам удалось обнаружить четыре сертификата, выданных юридическим лицам, прошедшим регистрацию в Москве.

В «Операции Buhtrap» контроль над ПК устанавливался путем установки программы с исполняемыми файлами mimi.exe и xtm.exe. С их помощью можно получить или восстановить пароль от Windows, а также создать новый аккаунт в системе. Файл impack.exe устанавливает бэкдор LiteManage, предоставляющий злоумышленникам удаленный доступ к системе. Далее осуществляется загрузка шпионского ПО pn_pack.exe, крадущего данные и взаимодействующего с удаленным командным сервером. Шпионское ПО способно передавать на удаленный сервер нажатие клавиш и содержимое буфера обмена.

По словам вирусного аналитика Eset, сначала компрометируется один ПК компании посредством отсылки сотруднику фишингового сообщения с эксплойтом, а затем атакующие пользуются программными инструментами для расширения своих полномочий в системе. Атака также оказалась схожей с инцидентом с применением банковского трояна Anunak/Carbanak.

Читайте нас в Дзене
Подписаться
Полная версия