Показано с 1 по 1 из 1.

Операция Buhtrap нацелена на российские банки

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,807
    Вес репутации
    141

    Операция Buhtrap нацелена на российские банки

    Эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес. «Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%). Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»). Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar. Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам. Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP. Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой. После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе. Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством. «Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции».

    Источник: http://www.anti-malware.ru/news/2015-04-09/15948

  2. Реклама
     

Похожие темы

  1. Троян терроризирует российские банки
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 12.02.2014, 20:40
  2. Ответов: 0
    Последнее сообщение: 15.08.2013, 11:50
  3. Российские банки смогут застраховаться от утечек
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 01.11.2012, 19:40
  4. Хакеры атаковали российские и украинские банки
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 05.03.2010, 16:04
  5. Ответов: 1
    Последнее сообщение: 16.11.2009, 16:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00892 seconds with 18 queries