Хакерская группировка Buhtrap, известная атаками на российские компании, перешла к кибершпионажу. На данный момент целью хакеров стали банки и госучреждения Восточной Европы и Центральной Азии, говорится в сообщении компании ESET.
В ESET указывают, что пришли к выводу о переходе Buhtrap к кибершпионажу, когда исследовали уязвимость в компоненте win32k.sys, которая позволила преступникам в июне 2019 года организовать таргетированную атаку на пользователей из Восточной Европы.
Эксперты отметили, что арсенал хакеров включает набор вредоносного программного оборудования (ПО), который попадает на устройства жертвы под видом легитимных программ. Далее ПО стремится собрать пароли от почтовых клиентов и браузеров и переслать информацию на сервер злоумышленников. Программа предоставляет своим операторам полный доступ к скомпрометированной системе жертвы.
Как пояснили в компании, банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес.
18.02.2019 16:25Изучение предыдущих кампаний показало, что преступники часто подписывают вредоносные приложения легитимными сертификатами, а в качестве приманок используют вложения с документами. Так, ранее группировка атаковала финансовые структуры российских компаний, прикладывая к письмам поддельные счета-фактуры, контракты, акты сдачи-приемки. Когда в конце 2015 года группировка переключилась на банки и госучреждения, то в качестве приманок использовались поддельные документы об изменении правил в банковской сфере, а также рекомендации ЦБ.
По словам ведущего эксперта ESET Жана-Йена Бутена, всегда непросто связать атаку с конкретным исполнителем, особенно если исходный код его инструментов находится в свободном доступе в сети. «Так как смена целей произошла до утечки исходного года, мы убеждены, что одни и те же лица стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений», — пояснил эксперт.