Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Татьяна Никитина 08 Октября 2024 - 14:44

...

Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Эксперты F.A.C.C.T. зафиксировали новую атаку Buhtrap по своей клиентской базе. Сотрудник подопечной компании скачал трояна вместо шаблона документа, который он пытался найти через «Яндекс»; вредоносный сайт всплыл в первых строках поисковой выдачи.

Запуск Windows-зловреда, используемого для хищения денежных средств с корпоративных счетов в банках, был с успехом заблокирован. Анализ показал, что за полтора года затишья схема атак Buhtrap практически не изменилась.

Загруженный с поддельного сайта ZIP-архив содержит исполняемый файл с вводящим в заблуждение именем Документ № [0-9].exe — начальный загрузчик (лоадер). При его активации распаковывается дроппер, запускающий Wordpad.exe с пустым документом.

Развертывание целевой полезной нагрузки происходит, когда жертва закрыла окно Wordpad . По словам экспертов, этот трюк применяется для обхода песочниц.

Троян сохраняется на диск и прописывается в системном реестре на автозагрузку как экзешник с произвольным именем (на латинице). Весной 2023 года вредонос оседал в системах в виде DLL.

В рамках новой Buhtrap-кампании было выявлено несколько взаимосвязанных сайтов-приманок (все домены зарегистрированы в конце июля):

астраюрист[.]рф;
фин-баланс[.]рф;
финансовыйбаланс[.]рф;
законноерешение[.]рф (пока не используется).

Чтобы повысить их позиции в результатах поиска, злоумышленники применяют методы черной оптимизации (black SEO). Под встроенными в страницы кнопками «Скачать документ» скрыт редирект на другой вредоносный ресурс в той же инфраструктуре.

Русскоговорящая группировка Buhtrap объявилась в интернете осенью 2014 года. Ее жертвы — в основном российские юрлица; одноименный троян обычно распространяется через взломанные или специально созданные сайты для финансистов и юристов (метод watering hole), реже — вложением в поддельные письма.

Ущерб от атак Buhtrap в период с 2020 года по 2022-й в F.A.C.C.T. оценили в 2 млрд руб., за все годы активности кибергруппы в глобальном масштабе — в 6-7 млрд рублей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Сентября 2025 - 13:55

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Общее Яндекс

Яндекс научит школьников распознавать дипфейки и расскажет о рисках

Яндекс подключился к просветительскому проекту «Цифровой ликбез» и подготовил для школьников урок о том, как распознавать дипфейки и защищаться от связанных с ними угроз. Материал рассчитан на детей от 6 лет, но будет полезен и взрослым — например, родителям или учителям, которые рассказывают детям о цифровой безопасности.

Урок сделан в формате мультфильма. Его главный герой — рыбка-коробочка из подводного города Кораллвиль, на примере которой школьникам показывают, чем опасны дипфейки и почему важно перепроверять информацию из интернета.

Для незрячих и слабовидящих зрителей добавлены тифлокомментарии — короткие описания происходящего между репликами персонажей.

К мультфильму прилагаются методические материалы для педагогов: презентация с фактами и заданиями, примеры из жизни и даже готовый сценарий занятия. Для детей предусмотрен тест, чтобы закрепить полученные знания. Все материалы доступны на сайте проекта.

«Генеративные нейросети открывают захватывающие возможности, но их используют не только во благо. Даже экспертам не всегда удаётся безошибочно отличить подделку, созданную ИИ. Но мы можем объяснить детям базовые правила цифровой безопасности и научить их скептически относиться к любому контенту из мессенджеров и соцсетей», — отметил директор по информационной безопасности Яндекса Александр Каледа.

Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Читайте также