Раскрыта масштабная кибератака на российские банки

Специалисты Eset раскрыли очередную масштабную кибератаку, которая была нацелена на российский бизнес. Атака, получившая название «Операция Buhtrap», длилась не менее года. Подавляющее большинство заражений также пришлось на российских пользователей (88%).хакеры сняли деньги со счетов банков

Злоумышленники внедряли вредоносный код на Windows-компьютеры, в которых русский язык использовался по умолчанию. Для инфицирования использовался документ Word, внутри которого был эксплойт с кодом CVE-2012-0158. Вредоносный документ рассылался при помощи электронной почты.

Если пользователь открывает зараженный документ, в систему устанавливается загрузчик. Утилита проверяет ряд параметров ОС Windows и загружает с сервера архив 7z, в котором находятся основные вредоносные модули. В некоторых случаях вирус проверяет наличие в системе активных виртуальных машин и автоматических систем анализа – для этого загрузчик загружает на компьютер архив с легальной программой Windows Live Toolbar.взлом сбербанка хакерами

Вредоносные компоненты представляют собой обычные самораспаковывающиеся архивы (формат 7z), закрытые паролем. Часть модулей снабжены реальными цифровыми сертификатами, которые уже заблокированы после обращения представителей Eset.

Для установления контроля над системой используются утилиты xtm.exe и mimi.exe. Программы позволяют восстановить или получить пароль от Windows, активировать сервис RDP, автоматически создать новый аккаунт в системе. Файл отвечает за инсталляцию бэкдора LiteManage, который позволяет получить удаленный доступ к системе.

Далее на ПК устанавливается банковское шпионское ПО (исполняемый модуль pn_pack.exe). Основная задача приложения – кража персональных данных и взаимодействие с сервером злоумышленников. Шпионская программа способна передавать серверу содержимое буфера обмена, нажатые клавиши, а также список смарт-карт, установленных в системе.хакер

Схема атаки выглядит следующим образом: преступники взламывают ПК одного из сотрудников компании при помощи фишингового сообщения. Если это удается, атакующие используют функционал вредоносных модулей, чтобы повысить свои полномочия в скомпрометированной системе и выполнять другие задачи: отслеживать банковские транзакции, шпионить за владельцем ПК и заражать другие компьютеры компании.

См. также:  Форсаж 7 – интересные факты о фильме

Добавить комментарий

Ваш адрес email не будет опубликован.