Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Татьяна Никитина 08 Октября 2024 - 14:44
...
Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Эксперты F.A.C.C.T. зафиксировали новую атаку Buhtrap по своей клиентской базе. Сотрудник подопечной компании скачал трояна вместо шаблона документа, который он пытался найти через «Яндекс»; вредоносный сайт всплыл в первых строках поисковой выдачи.

Запуск Windows-зловреда, используемого для хищения денежных средств с корпоративных счетов в банках, был с успехом заблокирован. Анализ показал, что за полтора года затишья схема атак Buhtrap практически не изменилась.

Загруженный с поддельного сайта ZIP-архив содержит исполняемый файл с вводящим в заблуждение именем Документ № [0-9].exe — начальный загрузчик (лоадер). При его активации распаковывается дроппер, запускающий Wordpad.exe с пустым документом.

Развертывание целевой полезной нагрузки происходит, когда жертва закрыла окно Wordpad . По словам экспертов, этот трюк применяется для обхода песочниц.

Троян сохраняется на диск и прописывается в системном реестре на автозагрузку как экзешник с произвольным именем (на латинице). Весной 2023 года вредонос оседал в системах в виде DLL.

В рамках новой Buhtrap-кампании было выявлено несколько взаимосвязанных сайтов-приманок (все домены зарегистрированы в конце июля):

  • астраюрист[.]рф;
  • фин-баланс[.]рф;
  • финансовыйбаланс[.]рф;
  • законноерешение[.]рф (пока не используется).

Чтобы повысить их позиции в результатах поиска, злоумышленники применяют методы черной оптимизации (black SEO). Под встроенными в страницы кнопками «Скачать документ» скрыт редирект на другой вредоносный ресурс в той же инфраструктуре.

 

Русскоговорящая группировка Buhtrap объявилась в интернете осенью 2014 года. Ее жертвы — в основном российские юрлица; одноименный троян обычно распространяется через взломанные или специально созданные сайты для финансистов и юристов (метод watering hole), реже — вложением в поддельные письма.

Ущерб от атак Buhtrap в период с 2020 года по 2022-й в F.A.C.C.T. оценили в 2 млрд руб., за все годы активности кибергруппы в глобальном масштабе — в 6-7 млрд рублей.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Уязвимость в iPhone позволяет украсть до $10 000 через NFC
Екатерина Быстрова 16 Апреля 2026 - 08:47
iOS Уязвимости программОшибки конфигурации программ Домашние пользователи
Уязвимость в iPhone позволяет украсть до $10 000 через NFC

На YouTube-канале Veritasium вышло видео о редкой, но любопытной уязвимости в iPhone. Речь идёт о сценарии, при котором злоумышленник теоретически может провести NFC-платёж даже с заблокированного смартфона и списать до $10 000. Рядовым пользователям вряд ли стоит переживать, так как на практике для атаки нужен слишком уж специфический набор условий.

Саму проблему ещё в 2021 году обнаружили специалисты Иоана Буряну и Том Чотия.

Они показали, что iPhone можно обмануть и заставить принять фальшивый POS за настоящий терминал общественного транспорта. Это связано с функцией Express Transit, которая позволяет оплачивать проезд без разблокировки устройства.

Как объясняется в видео Veritasium, исследователи нашли способ обойти ещё несколько защитных механизмов Apple, чтобы в итоге инициировать перевод средств. В демонстрации речь идёт о сумме до $10 000.

Впрочем, у атаки есть серьёзные ограничения. Во-первых, она работает только в том случае, если в качестве карты для Express Transit на iPhone выбрана Visa. На Mastercard и другие платёжные системы этот сценарий не распространяется. Во-вторых, сама эксплуатация требует очень специфических условий и, по сути, лабораторной точности.

Apple сообщила Veritasium, что проблема связана с особенностями со стороны Visa. В Visa, в свою очередь, заявили, что держатели карт защищены политикой нулевой ответственности, так что в случае успешной атаки возможный ущерб должен быть компенсирован.

При этом компания подчеркнула, что подобный сценарий «крайне маловероятен» в реальной жизни, даже если в контролируемой среде он реально сработал.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
В России впервые оштрафовали за оскорбление в MAX
Новость
В России впервые оштрафовали за оскорбление в MAX
Россияне получат право отказаться от услуг с ИИ
Новость
Россияне получат право отказаться от услуг с ИИ
ЦИК подтвердил законность использования Telegram в предвыборной агитации
Новость
ЦИК подтвердил законность использования Telegram в предвыбор...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.