Новое шпионское ПО атакует российский банковский сектор

Исследователи ESET  сообщили  о вредоносной кампании, получившей название «Операция Buhtrap» (Operation Buhtrap). Она основана на использовании семейства шпионского ПО, эксплуатирующего уязвимость в ОС Windows, установленной на машинах российских пользователей. Кампания началась в прошлом году и до сих пор остается активной. В атаках, нацеленных на ряд различных российских банков, используется несколько разных кодов подписей сертификатов.

В 2014 году специалисты ESET обнаружили брешь ( CVE-2012-0158 ), содержащуюся в компонентах ListView / TreeView ActiveX библиотеки MSCOMCTL.OCX. Ее эксплуатация позволяет удаленному пользователю выполнить произвольный код на целевой системе. Вредоносный код может быть активирован посредством специально модифицированных файлов DOC или RTF, сформированных для версий MS Office 2003 и 2007. Хотя Microsoft еще год назад исправила данную брешь, похоже, что злоумышленникам удалось найти уязвимые системы Windows в российском банковском секторе и проэксплуатировать их.

По словам аналитика ESET Жана-Яна Ботена (Jean-Ian Boutin), инструменты, внедренные в компьютер жертвы, позволяют преступникам удаленно контролировать систему и фиксировать действия пользователя. Вредоносное ПО позволяет злоумышленникам установить бэкдор, похитить пароль к банковскому счету и даже создать новый. Кроме того, зловред устанавливает кейлоггер и модуль смарт-карты, а также способен загружать дополнительное вредоносное программное обеспечение.

Как отметил эксперт, пока «Операция Buhtrap» была зарегистрирована только в России (приблизительно 88% случаев инфицирования) и в Украине (10%). По своему образу действия «Операция Buhtrap» напоминает другую кампанию – Anunak/Carbanak, целью которой также являлись российские и украинские финансовые организации.

Одним из методов распространения Buhtrap является счет-фактура «Счет № 522375-ФЛОРЛ-14-115.doc», прикрепленный к электронному письму. Также злоумышленники используют еще одно подложное письмо якобы от российского оператора связи «Мегафон», к которому прикреплено вложение с фальшивым контрактом. После открытия вложения в систему внедряется троян, который по команде C&C-сервера сканирует окружение и репродуцируется с целью инфицирования других компьютеров в корпоративной сети. Далее специально разработанное шпионское ПО проводит разведывательную деятельность и отправляет полученную информацию на C&C-сервер злоумышленников.