Форум  |   Правила  |   Реклама  |   Статьи  |   Поиск  |   Регистрация  |   Вход

Троян Buhtrap распространялся через русские сайты новостей
Новая тема Написать ответ
# Пн Апр 02, 2018 8:15 pmIceberg Зарег.: 17.03.2010 ; Сообщ.: 12044Ответить с цитатой
Специалисты «Лаборатории Касперского» обнаружили, что банковский троян Buhtrap распространялся с помощью watering-hole атак, — хакеры заразили русскоязычные новостные сайты.

Малварь Buhtrap впервые попала на радары экспертов еще в 2014 году, а ИБ-специалисты не раз посвящали одноименной хакерской группе развернутые отчеты. Так как операторы банкера активны по сей день, специалисты «Лаборатории Касперского» предупреждают, что недавно система поведенческого анализа компании, основанная на машинном обучении, обнаружила вредоносную активность, связанную с распространением Buhtrap.


Инфицированная главная страница одного из популярных новостных сайтов

Сообщается, что злоумышленники внедрили вредоносный скрипт на главные страницы ряда русскоязычных новостных сайтов, которые могли посещать их цели. Основное назначение Buhtrap — воровать деньги со счетов юридических лиц, так что в данном случае киберпреступники «охотились» на сотрудников финансовых отделов каких-либо организаций. После визита на такую страницу потенциальная жертва незаметно перенаправлялась на подконтрольный злоумышленикам сервер, и против нее использовался эксплоит для браузера Internet Explorer.


География попыток атак

Злоумышленники использовали эксплоит для достаточно старой уязвимости в Internet Explorer (CVE-2016-0189, устранена еще в 2016 году), также известный как VBScript Godmode. Его код был почти полностью скопирован из открытого источника. Изменению подверглась лишь функция для доставки второй стадии полезной нагрузки, она расшифровывает и создает вредоносный powershell-скрипт со случайным именем в директории %TEMP%, затем вызывает его с использованием ShellExecute.

При этом сам powershell-скрипт является лишь загрузчиком: после запуска он проверяет наличие файла «06d488» в %TEMP%. Если такой файл отсутствует, скрипт загружает и запускает основной модуль малвари, то есть банкер Buhtrap.

Эксперты очередной раз призвали специалистов и простых пользователей не забывать и не лениться своевременно устанавливать обновления.
# Вт Апр 03, 2018 2:05 pmDreams Зарег.: 24.06.2016 ; Сообщ.: 383Ответить с цитатой
еще раз убедился, какой я молодец,что не читаю в инете всякий хлам Wink
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА
 
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.