Компании Eset удалось раскрыть масштабную кибератаку на банковский сектор российского бизнеса. Так называемая «Операция Buhtrap» длилась на протяжении года и большинство заражений — 88% — коснулось именно российских пользователей.
На компьютеры с Windows на русском языке через документ Word с эксплойтом CVE-2012-0158, прилагаемый в письме рассылки, устанавливалось вредоносное ПО. Один из образцов документа имитировал счет за оказание услуг, а второй — контракт мобильного оператора «Мегафон». После того, как пользователь открывал документ, на ПК устанавливался загрузчик приложения, сообщает портал Cnet.
При начале своей работы программа осуществляет проверку ряда параметров ОС Windows, а затем с удаленного сервера скачивает архив с вредоносными модулями. Для обхода автосистем анализа загрузчик устанавливал безвредный архив с панелью Windows Live Toolbar. Вредоносные модули представляли собой самораспаковывающиеся архивы формата 7z с паролем, подписанные цифровыми сертификатами, отозванными после обращения специалистов Eset. Экспертам удалось обнаружить четыре сертификата, выданных юридическим лицам, прошедшим регистрацию в Москве.
В «Операции Buhtrap» контроль над ПК устанавливался путем установки программы с исполняемыми файлами mimi.exe и xtm.exe. С их помощью можно получить или восстановить пароль от Windows, а также создать новый аккаунт в системе. Файл impack.exe устанавливает бэкдор LiteManage, предоставляющий злоумышленникам удаленный доступ к системе. Далее осуществляется загрузка шпионского ПО pn_pack.exe, крадущего данные и взаимодействующего с удаленным командным сервером. Шпионское ПО способно передавать на удаленный сервер нажатие клавиш и содержимое буфера обмена.
По словам вирусного аналитика Eset, сначала компрометируется один ПК компании посредством отсылки сотруднику фишингового сообщения с эксплойтом, а затем атакующие пользуются программными инструментами для расширения своих полномочий в системе. Атака также оказалась схожей с инцидентом с применением банковского трояна Anunak/Carbanak.