АРМАДА
Троян Buhtrap распространялся через русские сайты новостей
Новая тема Написать ответ

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 3378
Обратиться по нику
# Добавлено:Пн Апр 02, 2018 8:15 pmДобавить в избранноеОтветить с цитатой
Специалисты «Лаборатории Касперского» обнаружили, что банковский троян Buhtrap распространялся с помощью watering-hole атак, — хакеры заразили русскоязычные новостные сайты.

Малварь Buhtrap впервые попала на радары экспертов еще в 2014 году, а ИБ-специалисты не раз посвящали одноименной хакерской группе развернутые отчеты. Так как операторы банкера активны по сей день, специалисты «Лаборатории Касперского» предупреждают, что недавно система поведенческого анализа компании, основанная на машинном обучении, обнаружила вредоносную активность, связанную с распространением Buhtrap.


Инфицированная главная страница одного из популярных новостных сайтов

Сообщается, что злоумышленники внедрили вредоносный скрипт на главные страницы ряда русскоязычных новостных сайтов, которые могли посещать их цели. Основное назначение Buhtrap — воровать деньги со счетов юридических лиц, так что в данном случае киберпреступники «охотились» на сотрудников финансовых отделов каких-либо организаций. После визита на такую страницу потенциальная жертва незаметно перенаправлялась на подконтрольный злоумышленикам сервер, и против нее использовался эксплоит для браузера Internet Explorer.


География попыток атак

Злоумышленники использовали эксплоит для достаточно старой уязвимости в Internet Explorer (CVE-2016-0189, устранена еще в 2016 году), также известный как VBScript Godmode. Его код был почти полностью скопирован из открытого источника. Изменению подверглась лишь функция для доставки второй стадии полезной нагрузки, она расшифровывает и создает вредоносный powershell-скрипт со случайным именем в директории %TEMP%, затем вызывает его с использованием ShellExecute.

При этом сам powershell-скрипт является лишь загрузчиком: после запуска он проверяет наличие файла «06d488» в %TEMP%. Если такой файл отсутствует, скрипт загружает и запускает основной модуль малвари, то есть банкер Buhtrap.

Эксперты очередной раз призвали специалистов и простых пользователей не забывать и не лениться своевременно устанавливать обновления.
EssayPartner-хорошо конвертит бурж студентов :thup: Принимаем все виды трафика [email protected]/[email protected]/ICQ:6760171111Cool

Dreams
Опытный
Зарегистрирован: 24.06.2016
Сообщений: 194
Обратиться по нику
# Добавлено:Вт Апр 03, 2018 2:05 pmОтветить с цитатой
еще раз убедился, какой я молодец,что не читаю в инете всякий хлам Wink
VPS c бесплатным 24/7 Администрированием
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры