Эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.
«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%).
Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).
Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.
Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.
Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.
После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.
Эксперты отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.
