ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций
ATREX.RU
» Пресс релизы сегодняшнего дня
» Архив пресс-релизов
» Авторам от редакции
» Добавить пресс-релиз

Самое-самое //
Пресс-релизы // » Добавить пресс-релиз

ESET: операция Buhtrap нацелена на российские банки

Эксперты международной антивирусной компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес.

«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%).


Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием «Счет № 522375-ФЛОРЛ-14-115.doc»), второй – контракт мобильного оператора «Мегафон» («kontrakt87.doc»).

Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов ESET. Эксперты компании обнаружили четыре сертификата, выданные зарегистрированным в Москве юридическим лицам.

Чтобы установить контроль над зараженным ПК, в «Операции Buhtrap» используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.

Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за «Операцией Buhtrap», используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

«Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик ESET. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции».

Более подробную информацию об «Операции Buhtrap» вы найдете в официальном блоге ESET на Хабрахабр: http://habrahabr.ru/company/eset/

Антивирусные продукты ESET NOD32 детектируют как известные, так и новые киберугрозы, включая шпионское ПО:
https://www.esetnod32.ru/business/next-generation-internet-security

Контактное лицо: Евгения Громова (написать письмо автору)
Компания: ESET (все новости этой организации)
Добавлен: 19:14, 09.04.2015
Количество просмотров: 831
Страна: Россия

Покорители алтайских вершин на связи: МегаФон оцифровал путь к горе Енахташ, МегаФон, 22:24, 17.07.2026, Россия
1
В Усть-Коксинском районе Республики Алтай связь МегаФона стала более стабильной и качественной.


UDV Group: компании недооценивают сценарии реагирования при построении киберзащиты, UDV Group, 22:20, 17.07.2026, Россия
5
Российский разработчик UDV Group прокомментировал проблему низкой зрелости корпоративной кибербезопасности. По данным исследования K2 Cloud и Positive Technologies, только 20% средних и крупных компаний в России внедрили собственные ИБ-стандарты с учетом актуальных трендов кибератак, а каждая третья компания не проводит проверок киберзащиты.


Компании «Актив», SafeTech Lab и «Индид» объединили технологии в новой платформе аутентификации пользователей и управления доступом, Индид, 22:19, 17.07.2026, Россия
13
Компании «Актив», SafeTech Lab и «Индид» представили на российском рынке комплексную Платформу управления доступом, или сокращенно ПУД. Решение предназначено для построения единой инфраструктуры корпоративного доступа в организациях с высокими требованиями к информационной безопасности.


«1С-Рарус» помог «АСК-Контракт» усовершенствовать учет импортных поставок и автосервиса, 1С-Рарус, 22:17, 17.07.2026, Россия
12
Поставщик автозапчастей и сервисных услуг «АСК‑Контракт» совместно с «1С-Рарус» внедрили отраслевое решение «Альфа‑Авто: Автосервис+Автозапчасти Корп, ред. 6». Автоматизация ускорила оформление ремонтов и таможенных операций, повысила качество данных и упростила для сотрудников финансовый и складской учет.


Подтверждена совместимость сервера Delta Serval 6 и операционной системы Astra Linux Server, Группа Астра, 22:15, 17.07.2026,
13
Российский разработчик и производитель высокопроизводительного ИТ-оборудования Delta Computers совместно с разработчиком программного обеспечения «Группа Астра» провели тестирование на совместимость сервера Delta Serval 6 на базе новейших процессоров Intel® Xeon® 6 с операционной системой специального назначения Astra Linux Special Edition 1.8. В результате пройденных испытаний была подтверждена корректная работа сервера и программного обеспечения, а также получен сертификат соответствия.


НТЦ АРГУС: развитие спутниковой связи потребует новой модели управления наземной сетью, НТЦ АРГУС, 22:13, 17.07.2026, Россия
12
Российский разработчик решений для управления телеком-сетями НТЦ АРГУС отмечает: переход к гибридным сетям связи потребует от операторов не только доступа к спутниковому ресурсу, но и готовности связать его с наземной сетью, техническим учетом, аварийными процессами, SLA и клиентскими услугами.


«Телфин» и «Аспро.Cloud»: в 2026 году омниканальные коммуникации станут источником данных для аналитики и управления процессами, Телфин, 22:12, 17.07.2026, Россия
11
Провайдер коммуникационных сервисов «Телфин» совместно с командой аналитиков «Аспро.Cloud» изучили динамику потребления услуг бизнес-коммуникаций, опираясь на данные 15 тысяч компаний из различных отраслей экономики за 2025 г. и первый квартал 2026 г. В этом году число компаний, которые используют и бизнес-телефонию, и мессенджеры, выросло на 40 %.


Платформа SpaceVM совместима с СХД Nimbus «Гром», ДАКОМ М, 22:12, 17.07.2026, Россия
11
«ДАКОМ М» (бренд Space) и разработчик систем хранения данных Nimbus компания «ТЕХНОЛИД» подтвердили совместимость платформы виртуализации SpaceVM версии 6.5.9 с системой хранения данных Nimbus «Гром».


Axenix: банки будущего станут персональными финансовыми помощниками клиентов, Axenix, 22:12, 17.07.2026, Россия
12
Российские банки входят в новый этап развития, в котором ключевым конкурентным преимуществом станет не только надежность хранения средств или качество мобильного приложения, но и способность сопровождать клиента в повседневных финансовых решениях.


MWS AI выпустила ИИ-модель Cotype Pro 3 для решения многошаговых агентских задач, MWS AI, 22:11, 17.07.2026, Россия
13
MWS AI (МТС Web Services) выпустила Cotype Pro 3 и Cotype Light 3 – языковые модели третьего поколения, способные работать одновременно с текстом и изображениями.


Разделы //


Новости по странам //
Сегодня у нас публикуются //
Разработано AVart.Стуdия © 2008-2026 atrex.ru
  Rambler's Top100