ESET предупреждает о новой кибератаке на российские банки
Аналитики международной антивирусной компании ESET обнаружили новый вектор кибератаки Buhtrap, нацеленной на российский бизнес.
Открытая еще весной этого года киберкомпания «Операция Buhtrap» («Операция «Ловушка для бухгалтера») затеяла новый виток активности, направленной на деятельность российских банков. Об этом сообщает международная антивирусная компания ESET, которая и открыла весной мошенников.
Деятельность «Операции Buhtrap» была направлена на распространение банковского шпионского ПО с использованием фишинговых рассылок и набора вредоносных программ для контроля над зараженным ПК.
Сейчас ESET предупреждает о новом витке атак. В октябре этого года хакеры скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin. 88% пострадавших от их действий пользователей было из России.
Сайт Ammyy использовался для распространения нескольких семейств вредоносных программ. 26 октября «раздавался» загрузчик трояна Lurk, 29 октября — CoreBot, 30 октября — программа группы Buhtrap, в начале ноября — банковский троян Ranbyus и средство удаленного доступа Netwire RAT. Так как среди клиентов Ammyy Group находится много российских банков и компаний из списка Fortune Global 500, им стоит быть очень осторожными и максимально увеличить бдительность за финансовыми операциями.
Buhtrap представляет собой файл-загрузчик, который получает список установленного в системе ПО и сайтов, посещенных пользователем. На основе анализа системы и информации принимается решение об установке архива с файлами для кибершпионажа. Вредоносный код позволяет перехватывать нажатия клавиш, получать информацию о смарт-картах и взаимодействовать с удаленным сервером.
Кроме того, группа Buhtrap осваивает новые методы компрометации корпоративных пользователей. Как и операторы банковского трояна Carbanak, злоумышленники освоили схемы, характерные для таргетированных атак. Использование атак класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами) позволяет характеризовать Buhtrap как АРТ-группировку (Advanced Persistent Threat – «постоянные угрозы повышенной сложности»).