Международная антивирусная компания ESET раскрыла масштабную кибератаку Buhtrap, приоритетной целью которой стали российские банки и заражения которой на 88% пришлись на российский бизнес. Операция Buhtrap длилась как минимум год, говорится в сообщении ESET.

Злоумышленники устанавливали вредоносное ПО на компьютеры с операционной системой Windows, где русский язык установлен по умолчанию. Источником заражения был документ в формате Word с эксплойтом, который рассылался через фишинговые письма по электронной почте. Документы могли имитировать счета за оказание услуг, контракты оператора связи «МегаФон», указано в сообщении ESET.

Открытый вирусный документ устанавливает на компьютер банковское шпионское ПО через скачивание самораспаковывающегося архива 7z с вредоносными модулями. Многие модули подписаны действительными цифровыми сертификатами, выданными зарегистрированным в Москве юридическим лицам.

«Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские трансакции», — пояснил вирусный аналитик ESET Жан-Йен Бутен.

В частности, шпионское ПО отслеживает и передает на удаленный сервер нажатие клавиш и содержимое буфера обмена, а также перечисляет смарт-карты, присутствующие в системе. Методы злоумышленников, стоящих за Buhtrap, характерны для таргетированных атак, не связанных с финансовым мошенничеством, отметили в ESET.