Банкер BUHTRAP опять распространяется через новости
Эксперты «Лаборатории Касперского» обнаружили на портале одного из известных российских СМИ вредоносный код, приводящий к заражению банковским трояном Buhtrap.
Первую волну атак исследователи зафиксировали в конце марта 2018 года. С тех пор злоумышленники обновили и усовершенствовали свой арсенал. Если ранее вредоносный скрипт содержался только на главных страницах новостных ресурсов, то в текущей кампании сайт заразили целиком. Код обфусцировани внедряется на стороне сервера.
Как и весной, посетитель скомпрометированного портала незаметно перенаправляется на вредоносную страницу. Однако вместо старой уязвимости Internet Explorer злоумышленники эксплуатируют недавно закрытую брешь CVE-2018-8174. С ее помощью взломщики могут выполнить сторонний код от имени активного пользователя и получить аналогичные права на устройстве.
Эксплойт для этого бага преступники, как и в прошлый раз, скопировали из Сети и практически не изменили. Переписанным оказался только скрипт оболочки, отвечающий за начальную стадию доставки полезной нагрузки.
После успешного проникновения в систему взломщики пытаются повысить свои привилегии через еще один сравнительно свежий баг — CVE-2018-8120. Уязвимость кроется в компоненте Win32k и позволяет злоумышленникам выполнять произвольный код на уровне ядра, устанавливать стороннее ПО и создавать полноправные учетные записи.
Чтобы затруднить обнаружение и анализ кампании, все этапы заражения снова осуществляются через защищенный протокол HTTPS. Для этого преступники обзавелись бесплатными TLS-сертификатами Let’s Encrypt.
Банкер Buhtrap — это модульный троян, способный выполнять различные шпионские функции и предоставлять взломщикам контроль над зараженным устройством. Первые версии зловреда появились еще в 2014 году, в разное время он распространялся через спам-рассылку и скрывался под видом легитимного плагина. Недавно исходный код Buhtrap оказался в открытом доступе в Интернете. К нему прилагались подробные инструкции, а также контакты ИБ‑экспертов банков.
Источник: www.threatpost.ru
