09.04.2015  Новости, Безопасность, Финансы, страхование, недвижимость

Эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес. «Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%). Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй — контракт мобильного оператора «Мегафон» («kontrakt87.doc»). Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar. Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве ... читать далее.