О методах заражения компьютера пользователя и принципах работы предыдущих версий вируса, ESET подробно рассказала на своем сайте в апреле 2015 года. Однако, несмотря на предупреждения и создание антивирусов, вредонос продолжает действовать, сообщает компания.
Как сообщает ESET, операция Buhtrap ориентирована на российские компании и банки, вирус использует различные способы маскировки, поддельные сертификаты безопасности и другие методы, которые помогают избежать обнаружение.
Обычно будущая жертва получает Buhtrap по электронной почте, в зараженном вложении в формате Word. Пользователю предлагают получить поддельные счета-фактуры от партнеров или счета от оператора мобильной связи МегаФон. При открытии зараженного файла, вирус устанавливается на компьютер и, если информация интересна для мошенников, он передает на управляющий сервер всевозможную информацию и устанавливает в систему программы для кибершпионажа. Особый интерес для хакеров представляют банковские реквизиты и бухгалтерские данные, а также вводимые пользователем логины и пароли, которые перехватывает кейлоггер. Как отмечают исследователи, авторы кампании Buhtrap используют в своей работе смесь инструментов: программы-шпионы, трояны и кейлоггеры. Злоумышленники получают возможность удаленно управлять зараженным компьютером и записывать действия своего пользователя.
«Эта кампания является еще одним напоминанием, что компьютеры должны быть надлежащим образом защищены, а программное обеспечение обновлено для устранения уязвимостей», – считает Жан-Ян Боти (Jean-Ian Boutin), научный сотрудник отдела вредоносных программ ESET. – «Методы, используемые киберпреступниками, часто связаны с целенаправленными атаками. Они далеко ушли от традиционных банковских вредоносных программ, с которыми мы давно знакомы. Зараженный компьютер, работающий в локальной сети, дает злоумышленникам возможность компрометации других компьютеров компании, установки шпионского ПО и контроля за всеми операциями, что в последствии может привести к проведению мошеннических банковских операций самими хакерами».
Как отмечают исследователи ESET, одна из последних компиляций Buhtrap от 18 января 2015 года содержала строку «TEST_BOTNET», работа вируса контролировалась управляющим автора программ. Эксперты ESET уверены, что операция Buhtrap продолжается более года, и вредонос проходит непрерывное улучшение, чтобы избежать обнаружения и увеличить прибыль своим создателям.
По данным сайта, очередной вариант вредоносного программного обеспечения группы Buhtrap аналитики ESET обнаружили в октябре 2015 года на сайте компании Ammyy Group. Мошенники загрузили на сервер модификацию дистрибутива программы Ammyy Admin, которая включала установщик легитимной программы и вредоносное ПО группы Buhtrap. Зараженный дистрибутив был доступен для загрузки в течение недели. Ранее Ammyy Admin уже использовалась во вредоносных кампаниях и потому ряд антивирусных продуктов характеризуют ее как потенциально опасное приложение. Тем не менее программа удаленного доступа к рабочему столу популярна у корпоративных пользователей в России и других странах. Среди клиентов Ammyy Group – российские банки и компании из списка Fortune Global 500.
Расследование ESET установило, что в октябре-ноябре 2015 года сайт Ammyy использовался для распространения нескольких семейств вредоносных программ. 26 октября «раздавался» загрузчик трояна Lurk, 29 октября – CoreBot, 30 октября – программа группы Buhtrap, в начале ноября – банковский троян Ranbyus и средство удаленного доступа Netwire RAT. Эти программы не связаны друг с другом, однако фальшивые дистрибутивы Ammyy Admin выполняли одинаковые действия. Можно предположить, что злоумышленники, взломавшие сайт Ammyy Group, предоставляли услуги по распространению вредоносного содержимого разным кибергруппам.
Группа Buhtrap осваивает новые методы компрометации корпоративных пользователей. Как и операторы банковского трояна Carbanak, злоумышленники освоили схемы, характерные для таргетированных атак. Использование атак класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами) позволяет характеризовать Buhtrap как АРТ-группировку (Advanced Persistent Threat – «постоянные угрозы повышенной сложности»).
.jpg)
.jpg)
.jpg)