Всем привет, друзья! Живете вы себе, бизнес крутите-мутите. А потом в один прекрасный (на самом деле нет) день, на расчетном счете у вас мышь повесилась. И бухгалтер как рыба на берегу пучит глаза и ничего толком не может сказать.
А все дело в нем, старичке-лесовичке Buhtrap, который как призрак коммунизма бродит не только по ЕС, но и по миру вообще.
С вами канал “Цифровое просвещение”. Здесь трём за все, что связано с ИТ-сферой. И, да, у нас есть печеньки. Так что велком на темную сторону!
Куртки замшевые три штуки…
Ситуация. У одного ООО умыкнули со счетов пару десятков миллионов рублей. Увели в несколько приемов и даже подписали цифровой подписью - токеном главбуха. СБ поставила на уши всех.
Если бы не специфика ситуации, то это были 100% легальные операции. НО! Спецы зацепились, что пароль от клиент-банка был скопирован из буфера, а не введен от руки. И при изучении записей с камер наблюдения было это как раз в тот момент, когда бухши не было за ПК. Тайна открылась быстро - на машине оказался троян-долгожитель Buhtrap.
Шесть лет назад этот вирус уже навел шороху среди директоров, бухгалтеров, юристов и прочих белых воротничков. И если пошукать на форумах даркнета, то можно наткнуться на такие объявления:
“Ищу вот эти штуки Buhtrap и RTM куплю только с инструкцией а лучше всего с настройкой и установкой” или “Я ищу это Buhtrap и RTM и того кто разбирается в настройках”
В чем секрет такой живучести?
Вечный Buhtrap
Специалисты по кибербезопасности отметили за этим трояном своеобразные волны активности. Так, в 2018 году хакеры юзали автозалив - подмену конечных платежных реквизитов “на лету”, и атаки начинались уже через несколько часов с момента проникновения на ПК жертвы.
А в 2020 году уже все делали вручную.
Активность и спад применения вредоносного ПО не помешала злоумышленникам нанести в 2020-22 гг. ущерба на 2 млрд рублей, а общие убытки могут достигать 6-7 млрд рублей.
Также эксперты отметили следующие фишки:
- При автозаливах - средний размер хищений невелик. Так как преступник не знает точной суммы на счетах жертвы, программа откусывает слона по кусочкам.
- При хищениях в ручном режиме и может достигать до 90 млн рублей, так как хакер в реальном времени мониторит объем средств.
В 2021 году прервалась Drive-by-раздача Buhtrap и преступникам пришлось доставать “заначки” - активировать спящие вирусы на зараженных несколько лет назад ПК.
Загружаемые модули
Во всех случаях заражения программой на протяжении 2021-22 гг фигурировали следующие загрузочные модули:
- VNC - помогает осуществлять слежение за действиями жертвы и похищать деньги, этот модуль исполнялся в памяти без сохранения на диск. При работе VNC между заражением и выводом финансов может пройти приличное время, что маскирует хищение под действия легального пользователя системы клиент-банка.
- Fake Windows Update - активируется непосредственно перед хищением денежных средств. Назначение — скрывать пользовательский интерфейс и демонстрировать ложное сообщение об обновлении ОС.
- Reboot/Killdisk - модуль действует сразу после хищения, его основное назначение — приводить зараженный хост в состояние циклической перезагрузки.
- Screenshotter - модуль периодически создает снимки экрана и отсылает их на управляющий сервер.
Между заражением и кражей проходит 4-7 дней, но бывает уникумы, которые выводят деньги через 100 дней и даже позже.
Итак, Buhtrap в 2020−2021 годах не идет по пути сложных техник. Все достаточно просто: XOR-шифрование полезной нагрузки, эксплойт под старую CVE, «ручное» хищение денежных средств и т.д.
А мы напоминаем про не менее опасный компьютерный вирус-вымогатель. Про него вы можете почитать в нашей прошлой статье.
Всем высоких скоростей и удачи!
Кстати, по поводу железа, ПО и прочих услуг. Если загляните на официальный сайт нашей компании, то найдете много чего интересного.
А еще обязательно заходите в наш Телеграм канал, там вас ждет уникальный контент, которого нет на Дзене: на этой неделе рассказываем про он-лайн кассы в условиях санкций и новости ай-ти сферы!