💥Ваш бизнес-партнёр прислал вирус: реальный случай атаки через Диадок

💥Ваш бизнес-партнёр прислал вирус: реальный случай атаки через Диадок

🔹Случай с трояном Buhtrap

Недавно компания СКБ Контур обнаружила коварную атаку на пользователей сервиса электронного документооборота (ЭДО) Диадок. Злоумышленники запустили настоящую "цепную реакцию" заражения.

Важно понимать: сам портал Диадок не был взломан. Проблема оказалась гораздо коварнее.

🚩 Как работала "цепная реакция" заражения (расскажите своим сотрудникам на обучении по security awareness)

Схема напоминала распространение вируса COVID:

1️⃣ Злоумышленники взломали несколько аккаунтов клиентов Диадока

2️⃣ От имени этих компаний начали рассылать зараженные ZIP-архивы с трояном Buhtrap своим деловым партнерам

3️⃣ Получатели видели знакомое имя отправителя, доверяли файлу и запускали его

4️⃣ После заражения их компьютеры автоматически начинали рассылать вирус дальше — уже от имени новых жертв

5️⃣ Так вирус распространялся по цепочке от одной компании к другой, используя реальные деловые связи

Цель атаки: кража денег через системы интернет-банкинга и перехват платежных операций.

🚩 Что делает троян Buhtrap

Buhtrap — это специализированный банковский троян, который:

🔴 Следит за банковскими операциями: отслеживает, когда вы заходите в интернет-банк

🔴 Крадет данные для входа: запоминает логины, пароли и коды доступа

🔴 Подменяет платежи: может незаметно изменить реквизиты получателя в ваших переводах

🔴 Обходит защиту: умеет "прятаться" от многих антивирусов и работать скрытно

🔴 Передает информацию: отправляет все украденные данные злоумышленникам

По сути, это цифровой "шпион", который незаметно наблюдает за вашими финансовыми операциями и ворует деньги.

СКБ Контур оповестил:

"Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения."

Коварный ход. К сожалению портал пропускал какое-то время через себя вредоносный код внутри архива🙈

📌Что делать: описано у поставщика ЭДО.

🔹Рекомендации каждому CISO (lessons learned):

Если вы оказываете услуги третьим лицам по рассылке их файлов через ваше веб-приложение, то встраивайте в веб-приложение антивирус и песочницу. Это касается ЭДО, учебных центров и конференций.

🔹В чем сложность таких случаев

🫵 У безопасников уже много лет двойная задача: беречь от взлома не только свою компанию, но и защищать своих клиентов. Особенно это касается финансового сектора.

🔹Что еще почитать по теме

Сейчас активно развивается класс защиты под названием Application Detection and Response (ADR), который как раз выявляет такие аномалии поведения пользователей приложений в веб-приложениях, CRM, базах данных, DNS-сервисах и так далее.

🔹Как защитить себя: простые и понятные правила

1. Будьте осторожны с архивами — особенно если внутри файлы с расширениями .exe, .scr, .bat, как было в этом случае

2. Проверяйте отправителя — позвоните или напишите отдельным сообщением: "Ты мне файл отправлял?"

3. Не спешите открывать вложения — подозрительные файлы лучше проверить антивирусом

Добавил в сборник Антикризисных PR оповещения от различных организаций

#КризисМенеджмент #PR #DFIR #IRP #Buhtrap #CISO