Авторы Buhtrap освоили APT-атаки

Александр Панасенко 12 Ноября 2015 - 12:22

...

Аналитики международной антивирусной компании ESET обнаружили новый вектор кибератаки Buhtrap, нацеленной на российский бизнес. Злоумышленники скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin.

Киберкампания «Операция Buhtrap» («ловушка для бухгалтера») была раскрыта ESET весной 2015 года. Атакующие распространяли банковское шпионское ПО, используя фишинговую рассылку и набор вредоносных программ для контроля над зараженным ПК. 88% жертв атаки – компании из России.

В октябре 2015 года аналитики ESET обнаружили вредоносную активность на сайте компании Ammyy Group. Злоумышленникам удалось загрузить на сервер модификацию дистрибутива программы Ammyy Admin, содержащую установщик легитимной программы и вредоносное ПО группы Buhtrap. Скомпрометированный дистрибутив был доступен для загрузки около недели.

Buhtrap представляет собой загрузчик (downloader). Он получает список установленного в системе ПО и сайтов, посещенных пользователем. Если система интересна для атакующих, начинается загрузка установочного архива с файлами для кибершпионажа. Вредоносный код позволяет перехватывать нажатия клавиш, получать информацию о смарт-картах и взаимодействовать с удаленным сервером.

Несмотря на то, что Ammyy Admin – легитимная программа, она уже использовалась во вредоносных кампаниях. Поэтому некоторые антивирусные продукты, включая ESET NOD32, детектируют ее как потенциально нежелательное приложение. Тем не менее, программный продукт используется корпоративными пользователями в России и других странах. Среди клиентов Ammyy Group – российские банки и компании из списка Fortune Global 500.

Расследование ESET установило, что в октябре-ноябре 2015 года сайт Ammyy использовался для распространения нескольких семейств вредоносных программ. 26 октября «раздавался» загрузчик трояна Lurk, 29 октября – CoreBot, 30 октября – программа группы Buhtrap, в начале ноября – банковский троян Ranbyus и средство удаленного доступа Netwire RAT. Эти программы не связаны друг с другом, однако фальшивые дистрибутивы Ammyy Admin выполняли одинаковые действия. Можно предположить, что злоумышленники, взломавшие сайт Ammyy Group, предоставляли услуги по распространению вредоносного содержимого разным кибергруппам.

Группа Buhtrap осваивает новые методы компрометации корпоративных пользователей. Как и операторы банковского трояна Carbanak, злоумышленники освоили схемы, характерные для таргетированных атак. Использование атак класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами) позволяет характеризовать Buhtrap как АРТ-группировку (Advanced Persistent Threat – «постоянные угрозы повышенной сложности»).

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 05 Декабря 2025 - 15:38

Android Трояны Домашние пользователи Лаборатория Касперского

В России в 1,5 раза выросло число заражений NFC-троянами для Android

Во втором полугодии 2025 года кибермошенники в России заметно активизировались. По данным «Лаборатории Касперского», в третьем квартале число попыток заражения Android-смартфонов NFC-троянами выросло более чем в полтора раза и превысило 44 тысячи случаев.

При этом эксперты отмечают интересный сдвиг: если раньше злоумышленники чаще использовали схему «прямого NFC», то теперь всё большую популярность набирает так называемый «обратный NFC».

В этой схеме мошенник выходит на потенциальную жертву через мессенджер и предлагает установить якобы «служебное» приложение для верификации клиента. На деле это вредоносная программа.

После установки жертву убеждают приложить банковскую карту к задней панели смартфона и ввести ПИН-код. Вредонос передаёт данные карты злоумышленникам, которые могут сразу снимать с неё деньги или осуществлять бесконтактные платежи от имени владельца.

Этот метод становится всё популярнее. Жертве присылают APK-файл и уговаривают установить приложение, выдавая его за полезный инструмент. Если пользователь делает зловред основным способом бесконтактной оплаты, смартфон начинает передавать в банкомат сигнал не как его карта, а как карта злоумышленника.

Дальше всё выглядит как обычная просьба «перевести средства на безопасный счёт». Мошенник просит поднести телефон к банкомату и внести деньги — и жертва собственными руками отправляет средства на счёт преступников. Именно поэтому такая схема опаснее: транзакции выглядят вполне легальными.

«С конца 2024 года мы наблюдаем развитие атак с использованием NFC и специальных вредоносных утилит», — объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского». По его словам, подобные техники уже применялись за рубежом, а теперь всё чаще встречаются и в России.

«Если раньше акцент делался на „прямом NFC“, то теперь мы всё чаще видим „обратный NFC“. Опасность этой схемы в том, что жертва сама совершает перевод, и такие операции почти невозможно отличить от обычных», — добавляет он.

Решения «Лаборатории Касперского» определяют подобные вредоносные утилиты как Trojan-Banker.AndroidOS.Ganfyc.

Не так давно мы писали, что для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг.