Организация ESET открыла кибершпионскую атаку «Процедура Buhtrap», направленную прежде всего на отечественные денежные компании.
Докладывается, что мошенники действовали на протяжении по меньшей мере одного года. Важнейшей задачей атаки стали отечественные банки — на них понадобилось 90 % всех отмеченных примеров инфицирования.
Для проникания в атакуемую технологию киберпреступники распространяли фишинговые послания с прикреплённым документом в формате Майкрософт Ворд. Такие сведения, например, скрывались под счёт за проявление некоторых услуг и под договор мобильного оператора «Билайн».
При попытке открытия документа пускается эксплойт для одной из уязвимостей в Ворд (CVE-2012-0158), после чего на ПК ставится NSIS-загрузчик. Платформа рассматривает определенные характеристики Виндоус и потом закачивает с бравённого компьютера архив 7z с вредными устройствами. Интересно, что очень многие такие детали записаны объективными цифровыми сертификатами, сделанными и в том числе оформленным в городе Москва юридическим лицам.
Чтобы установить контроль над заражённым ПК, в «Процедуры Buhtrap» применяются платформы с выполняемыми документами mimi.exe и xtm.exe. Они дают возможность получить либо восстановить пароль от Виндоус, сделать свежий аккаунт в ОС, подключить сервис RDP. Дальше при помощи выполняемого документа impack.exe проводится установка бэкдора LiteManage.
На последнем раунде на зараженный персональный компьютер грузится банковское разведывательное ПО с наименованием выполняемого документа pn_pack.exe. Платформа работает на краже данных и содействии с бравённым командным компьютером. Шпион способен прослеживать и транслировать мошенникам нажатия кнопок и содержание буфера размена, и перечислять смарт-карты, присутствующие в системе.
Число потерпевших в процессе «Процедуры Buhtrap» организаций и объем экономического убытка не конкретизируются.