Специалисты «Лаборатории Касперского» сообщили о новой вспышке активности банковского трояна Buhtrap. При помощи системы поведенческого анализа, основанной на машинном обучении, эксперты обнаружили распространение зловреда на компьютерах российских пользователей.

При детальном изучении направлений атаки выяснилось, что ее источником является ряд отечественных новостных сайтов, на главные страницы которых был внедрен вредоносный код. Скрипт незаметно обращался к специальному серверу, откуда на компьютер жертвы загружалось тело зловреда.

Для атаки злоумышленники использовали давнюю уязвимость в движке браузера Internet Explorer, которая уже доставила немало проблем пользователям по всему миру. Microsoft пропатчила CVE-2016-0189 в мае 2016 года, однако она все еще активно эксплуатируется киберпреступниками. Именно эту брешь использовали авторы вымогателя Matrix для своего нового наступления в конце прошлого года.

В этот раз полезной нагрузкой оказался печально известный банкер. Запустив на компьютере PowerShell-скрипт, мошенники загружают троян Buhtrap, целью которого является кража денег со счетов юридических лиц. Зловред позволяет контролировать зараженное устройство — следить за набором с клавиатуры, копировать информацию из буфера обмена и работать со смарт-картами.

При помощи шпионских утилит злоумышленники получают данные для удаленного управления банковскими аккаунтами организации, после чего выводят с них деньги. Стоящая за Buhtrap преступная группировка постоянно совершенствует как вредоносное ПО, так и способы его распространения.

Первоначально зловред доставлялся через email-рассылку с зараженными файлами Word во вложении. Несколько позже, эксплуатируя все ту же брешь в Internet Explorer, злоумышленники подгружали программу под видом популярного плагина. На этот раз организаторы атаки не стали утруждать себя разработкой оригинального кода. Скрипт, который использовали преступники, практически полностью повторяет PoC, опубликованный ранее на GitHub.

Как и ранее, файлы Buhtrap имеют действительный SSL-сертификат, а взаимодействие с командным сервером зловред осуществляет по защищенному протоколу. Это затрудняет обнаружение трояна — для борьбы с таким типом программ наиболее эффективны антивирусные решения со встроенным поведенческим анализом.

Категории: Вредоносные программы, Главное