Новости

Eset: раскрыта масштабная компьютерная атака на российские банки

10.04.2015
Eset: раскрыта масштабная компьютерная атака на российские банки
09.04.2015 эксперты компании Eset сообщили о раскрытии масштабной компьютерной атаки под названием «Операция Buhtrap», направленной преимущественно на российскую банковскую сферу. Согласно статистике компании, 88 % инфицированных компьютеров находились на территории России, 10 % - Украины, 2 % - других стран.

Вредоносное программное обеспечение распространялось с помощью фишинговых писем, содержащих документ Word, эксплуатирующий уязвимость CVE-2012-0158. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг, второй – контракт мобильного оператора.

При открытии вредоносного документа, на компьютер пользователя устанавливалась программа-загрузчик, упакованная с помощью системы NSIS (Nullsoft Scriptable Install System). Программа проверяла некоторые параметры Windows, после чего скачивала с удаленного сервера вредоносные модули, являющиеся самораспаковывающимися архивами формата 7z, защищенными паролем. Многие модули были подписаны действующими цифровыми сертификатами, которые были отозваны после обращения специалистов компании Eset.

Для установления контроля над зараженным компьютером в «Операции Buhtrap» использовались программы с исполняемыми файлами mimi.exe и xtm.exe, позволяющие получить или восстановить пароль от ОС Windows, создать новую учетную запись в операционной системе, подключиться к ней с помощью протокола удаленного рабочего стола RDP (Remote Desktop Protocol). Исполняемый файл impack.exe позволял установить троянскую программу LiteManage, позволяющую злоумышленникам напрямую подключаться к системе и удаленно ею управлять.

Другой исполняемый файл (pn_pack.exe) отвечал за установку банковской троянской программы, способной отслеживать и передавать на удаленный сервер нажатия клавиш клавиатуры, содержимое буфера обмена, а также информацию о подключаемых смарт-картах. Запуск данной программы происходил с использованием легитимного программного обеспечения Yandex Punto.

Получив широкие полномочия в операционной системе одного компьютера, злоумышленники могли скомпрометировать другие компьютеры, находившиеся в одной локальной сети с зараженным.

Эксперты компании Eset отмечают, что в операции «Операции Buhtrap» использованы методы, характерные для целенаправленных компьютерных атак, и сравнивают данную операцию с известной компьютерной атакой, получившей название «Carbanak».