Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Татьяна Никитина 08 Октября 2024 - 14:44
...
Трояна Buhtrap вновь раздают с фейковых сайтов для юристов и финансистов

Эксперты F.A.C.C.T. зафиксировали новую атаку Buhtrap по своей клиентской базе. Сотрудник подопечной компании скачал трояна вместо шаблона документа, который он пытался найти через «Яндекс»; вредоносный сайт всплыл в первых строках поисковой выдачи.

Запуск Windows-зловреда, используемого для хищения денежных средств с корпоративных счетов в банках, был с успехом заблокирован. Анализ показал, что за полтора года затишья схема атак Buhtrap практически не изменилась.

Загруженный с поддельного сайта ZIP-архив содержит исполняемый файл с вводящим в заблуждение именем Документ № [0-9].exe — начальный загрузчик (лоадер). При его активации распаковывается дроппер, запускающий Wordpad.exe с пустым документом.

Развертывание целевой полезной нагрузки происходит, когда жертва закрыла окно Wordpad . По словам экспертов, этот трюк применяется для обхода песочниц.

Троян сохраняется на диск и прописывается в системном реестре на автозагрузку как экзешник с произвольным именем (на латинице). Весной 2023 года вредонос оседал в системах в виде DLL.

В рамках новой Buhtrap-кампании было выявлено несколько взаимосвязанных сайтов-приманок (все домены зарегистрированы в конце июля):

  • астраюрист[.]рф;
  • фин-баланс[.]рф;
  • финансовыйбаланс[.]рф;
  • законноерешение[.]рф (пока не используется).

Чтобы повысить их позиции в результатах поиска, злоумышленники применяют методы черной оптимизации (black SEO). Под встроенными в страницы кнопками «Скачать документ» скрыт редирект на другой вредоносный ресурс в той же инфраструктуре.

 

Русскоговорящая группировка Buhtrap объявилась в интернете осенью 2014 года. Ее жертвы — в основном российские юрлица; одноименный троян обычно распространяется через взломанные или специально созданные сайты для финансистов и юристов (метод watering hole), реже — вложением в поддельные письма.

Ущерб от атак Buhtrap в период с 2020 года по 2022-й в F.A.C.C.T. оценили в 2 млрд руб., за все годы активности кибергруппы в глобальном масштабе — в 6-7 млрд рублей.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ГК Softline выведет на IPO дочек Девелонику, Bell Integrator и SL Soft
Татьяна Никитина 03 Декабря 2024 - 20:09
Корпорации Softline
ГК Softline выведет на IPO дочек Девелонику, Bell Integrator и SL Soft

ГК Softline собирается объединить дочерние ИТ-компании Bell Integrator, «Девелоника» и SL Soft и провести IPO нового субхолдинга — скорее всего, во второй половине 2025 года, когда условия станут более благоприятными.

Как стало известно ТАСС, первое публичное размещение может состояться на Мосбирже, где торгуются акции самой Softline. Суммарная капитализация трех дочек, по оценкам, превышает 40 млрд руб., валовая рентабельность после объединения может достичь 80%.

Согласно последнему финотчету Softline (по МСФО), в III квартале текущего года оборот группы ИТ-компаний достиг 28,3 млрд руб., увеличившись на 28% в сравнении с показателем годовой давности. Валовая рентабельность возросла до 29% (на 3 п. п.).

Чистая прибыль, полученная в отчетный период, превысила 2 млрд рублей. Скорректированный показатель EBITDA возрос более чем в два раза, до 1,2 млрд рублей.

Выводить своих дочек на биржу собирался также «Ростелеком». Осенью ожидалось IPO «РТК-ЦОД», но в итоге оно было отложено до лучших времен. После этого настанет черед ГК «Солар», эти планы пока в силе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
В мессенджере Zangi нашлась критическая уязвимость
Новость
В мессенджере Zangi нашлась критическая уязвимость
Телефонные мошенники переключились на тему замены счетчиков
Новость
Телефонные мошенники переключились на тему замены счетчиков
Zero-Click в календаре macOS раскрывала данные пользователей iCloud
Новость
Zero-Click в календаре macOS раскрывала данные пользователей...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.