ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций

» Архив пресс-релизов

» Авторам от редакции

» Добавить пресс-релиз

IT технологии «

Антивирусы «

Промышленность и производство «

Банки «

Культура, искусство «

Образование, учеба «

Природа, окружающая среда «

Наука «

Медицина «

Фармацевтика «

Спорт «

Реклама, PR «

Договора, соглашения «

Логистика, транспорт «

Благотворительность «

Скидки «

Прочие события «

Другие статьи «

Комментарии специалистов «

Недвижимость «

Аналитика «

Самое-самое //

Пресс-релизы //

» Добавить пресс-релиз

ESET: операция Buhtrap нацелена на российские банки

Эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%).

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.

Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

«Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции».

Более подробную информацию об «Операции Buhtrap» вы найдете в официальном блоге ESET на Хабрахабр: http://habrahabr.ru/company/eset/

Антивирусные продукты ESET NOD32 детектируют как известные, так и новые киберугрозы, включая шпионское ПО:
https://www.esetnod32.ru/business/next-generation-internet-security

Контактное лицо: Евгения Громова (написать письмо автору)
Компания: ESET (все новости этой организации)
Добавлен: 19:14, 09.04.2015
Количество просмотров: 814
Страна: Россия

Первый Бит провел серию экспертных встреч по внедрению ИИ в медицинский бизнес, Эксперты компании «Первый Бит» провели два круглых стола, посвященных практическому применению инструментов искусственного интеллекта (ИИ) в медицинском бизнесе., 20:00, 19.04.2026,

648

Эксперты компании «Первый Бит» провели два круглых стола, посвященных практическому применению инструментов искусственного интеллекта (ИИ) в медицинском бизнесе.

«Хи-Квадрат» и «Трамплин Электроникс» договорились о сотрудничестве, Хи-Квадрат, 02:44, 18.04.2026, Россия

808

Компания «Хи-Квадрат», разработчик платформы для разработки приложений и сложных бизнес-систем XSQUARE, стала партнером российской технологической компании «Трамплин Электроникс», создателя серверных процессоров «Иртыш».

«ДАКОМ М» усилил SpaceVM первым в России интегрированным проприетарным SDN‑стеком, ДАКОМ М, 02:44, 18.04.2026, Россия

1232

Российский разработчик «ДАКОМ М» вывел на рынок обновленную платформу виртуализации SpaceVM 7 — первую и единственную на российском рынке с полностью проприетарным SDN‑стеком SDN Flow, который входит в состав продукта и не требует отдельной лицензии.

Финал XI Всероссийской олимпиады по 3D-технологиям среди школьников 5-11 классов, Ассоциация 3Д образования, 02:43, 18.04.2026, Россия	818
С 22 по 24 апреля 2026 года на базе Исторического парка РОССИЯ - МОЯ ИСТОРИЯ пройдет финал XI Всероссийской командной инженерной олимпиады по 3D-технологиям среди школьников 5-11 классов.

Единый семинар 1С: эксперты «1С» и «1С‑Рарус» ответили на вопросы бухгалтеров по сдаче отчетности за I квартал, 1С-Рарус, 01:01, 18.04.2026, Россия

1245

К трансляции весеннего Единого семинара 1С подключились более 53 000 слушателей, в том числе 4 270 участников, приглашенных компанией «1С-Рарус». Бухгалтеры и руководители получили разъяснения, как подготовить и сдать отчетность за первый квартал с учетом законодательных изменений. Специалисты линии консультаций «1С-Рарус» консультировали слушателей в онлайн-режиме.

Уйти от Windows стало проще: «Группа Астра» выпустила инструмент автоматической миграции, Группа Астра, 01:01, 18.04.2026, Россия	827
«Группа Астра», ведущий российский разработчик инфраструктурного ПО, объявляет о коммерческом релизе нового продукта — Astra Migration, инструмента для автоматической миграции с ОС Windows на ОС Astra Linux.

Галэкс расскажет об опыте внедрения продуктов «Базальт СПО» на фестивале российских ИТ-технологий в Новосибирске, Галэкс, 01:00, 18.04.2026, Россия

843

С 21 по 22 апреля 2026 года в Новосибирске состоится Фестиваль российских ИТ-технологий, организатором которого выступает разработчик «Базальт СПО». Галэкс примет участие в мероприятии в роли ключевого партнёра и соорганизатора, а также выступит с докладом о внедрении решений «Базальт СПО»

UDV DATAPK Industrial Kit 3.1 - реальная безопасность для защиты АСУ ТП любого масштаба, UDV Group, 00:59, 18.04.2026, Россия	820
Российский разработчик UDV Group представил новый релиз своего флагманского продукта для кибербезопасности АСУ ТП - UDV DATAPK Industrial Kit 3.1.

Innostage PAM обновлен до версии 1.6.0, Innostage, 00:59, 18.04.2026, Россия	821
Innostage PAM обновлен до версии 1.6.0. В новой версии расширены возможности проверки передаваемых файлов через ICAP и работы с SSH- и SFTP-подключениями в сетевых сегментах с пересекающейся адресацией.

«Гармония ELT» поможет пользователям Yandex Cloud сократить трудозатраты на работу с DWH до 40%, Navicon, 00:59, 18.04.2026, Россия	828
Решение «Гармония ELT» от системного интегратора и разработчика «Навикон» стало доступно на маркетплейсе решений Yandex Cloud. Пользователи облачной платформы могут получить его по модели подписки на срок от одного месяца.