Специалистите от словашката кампания, предоставяща услуги и продукти от областта на информационната и интернет безопасност
ESET съобщи тези дни за продължителна малуер кампания към руски банки и финансови институции.
Operation Buhtrap, каквото име са дали на кампанията специалистите, е била регистрирана от
ESET през миналата година, и е все още активна.Любопитно е това, че
ESET не са отчели кражбата на финансови средства, но според ESET вероятно именно това е една от целите на киберпрестъпниците, стоящи зад атаките. "Макар и да нямаме информация за кражба на пари, фактът, че намерихме редове в малуера, свързани с банкови сайтове и приложения, използвани от клиентите им за достъп и управление на акаунтите им ни карат да мислим че киберпрестъпниците търсят финансови облаги", заявява в интервю за SCMagazine Жан-Ян Ботен. Мошениците са изпращали към целите си специално изготвени имейли, в които присъства прикачен файл, в който присъства експлойт за уязвимост в
MS Word -
CVE-2012-0158 - с помощта, на който бива инсталиран малуер. След отварянето на прикачения файл на уязвима машина, то се сваля допълнително малуер, инсталира се и в началото проверява различни характеристики на системата, в това число, дали не е изпълнен във виртуала среда и дали е зададена руска локализация.
При изпълнение на предварително зададените параметри се сваля допълнително малуер на системата, който разполага с различни модули, някои от които с цифрови подписи. Модулите,
пишат от
ESET в публикация от тази седмица, са натоварени с различни функционалности, като възстановяване на пароли, пускане на услуга за отдалечен достъп, създаване на нови акаунти в системата и т.н. Един от модулите инсталира
бекдор на машината, което позволява дистанционен контрол на компютрите. Друг има функционалност за регистрация и запис на натисканите клавиши на клавиатурата (кийлогинг), копиране на съдържанието на клипборда, отбелязване на смарт картите, които присъстват на системата и изпращането на данните към отдалечен сървър.
