В течение как минимум года злоумышленники устанавливали контроль над компьютерами разных российских банков, выяснила компания ESET.

По данным антивирусного разработчика, основным источником заражения в ходе масштабной кибератаки, названной «Операция Buhtrap», был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Целью киберпреступников были компьютеры, использующие в Windows русский язык по умолчанию.

Как сообщают аналитики, один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй — контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

Когда пользователь открывал вредоносный документ на уязвимой системе, на ПК устанавливался NSIS-загрузчик, скачивавший с удаленного сервера самораспаковывающийся архив 7z с вредоносными модулями. Для маскировки многие модули были подписаны действительными цифровыми сертификатами.

Затем задействовались программы с исполняемыми файлами mimi.exe и xtm.exe, которые позволяли получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP. Чтобы злоумышленники могли управлять системой, посредством impack.exe устанавливался бэкдор LiteManage. После этого на ПК загружалось банковское шпионское ПО с названием исполняемого файла pn_pack.exe.

В итоге киберпреступники могли отслеживать нажатие клавиш на зараженном компьютере, получать доступ к содержимому буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Стоит отметить, что в связи с быстрорастущей угрозой для российских банков со стороны хакеров в стране заработает государственная система предотвращения киберугроз. Основными задачами создаваемого центра ФинЦМиР/FinCERT станут мониторинг инцидентов, связанных с обеспечением защиты информации в кредитно-финансовой сфере, сбор и анализ информации о выявленных уязвимостях, прогнозирование финансовых киберрисков. Кроме того, центр будет оказывать помощь в локализации инцидентов и собирается организовать оперативное взаимодействие с правоохранительными органами.

Категории: Вредоносные программы, Главное, Спам