«Операция Buhtrap длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, большинство заражений пришлось на пользователей из России (88%)», - говорится в сообщении ESET.
Злоумышленники устанавливали вредоносное ПО на компьютеры с операционной системой Windows, где русский язык установлен по умолчанию. Источником заражения был документ в формате Word с эксплойтом, который рассылался через фишинговые письма по электронной почте. Документы могли имитировать счета за оказание услуг, контракты оператора связи «Мегафон», указано в сообщении ESET.
Открытый вирусный документ устанавливает на компьютер банковское шпионское ПО через скачивание самораспоковывающегося архива 7z с вредоносными модулями. Многие модули подписаны действительными цифровыми сертификатами, выданными зарегистрированным в Москве юридическим лицам.
«Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции», - пояснил вирусный аналитик ESET Жан-Йен Бутен.
В частности, шпионское ПО отслеживает и передает на удаленный сервер нажатие клавиш и содержимое буфера обмена, а также перечисляет смарт-карты, присутствующие в системе. Методы злоумышленников, стоящих за Buhtrap, характерны для таргетированных атак, не связанных с финансовым мошенничеством, отметили в ESET.