Daugiau nei 25 metus saugumo sprendimus pristatančios ESET kompanijos ekspertai pateikė išsamią techninę analizę apie „Operation Buhtrap“ kenkėjiškų programų šeimą, nukreiptą prieš „Windows“ operacinės sistemos vartotojus Rusijoje. Naujausi duomenys atskleidžia, kad šis virusas suteikia galimybę kibernetiniams sukčiams šnipinėti kompiuterius bei pasisavinti jautrius vartotojų duomenis.
Tyrimas rodo, kad „Operation Buhtrap“ veikla prasidėjo praėjusiais metais ir toliau aktyviai vystosi, sukeldama didelę riziką pažeidžiamiems Rusijos „Windows“ sistemos vartotojams. Naujausia ESET analizė rodo, kad sukčiai taikosi į daugelį Rusijos bankų, naudoja keletą skirtingų prisijungimų kodų sertifikatų ir taiko itin sudėtingas technikas, siekdami išlikti neaptikti saugumo programų.
ESET tyrėjai nustatė, kad virusas plinta per „Word“ dokumentus su CVE-2012-0158 pažeidžiamumu. Paaiškėjo, kad kibernetiniai sukčiai siunčia šlamštą el. paštu su pridėtais užkrėstais „Word“ dokumentais ir apsimeta, kad gavėjui yra siunčiamos sąskaitos-faktūros arba sutartys iš „Megafon“ – stambaus Rusijos mobilaus ryšio operatoriaus. Taip jie siekia aukas suvilioti atidaryti kenkėjiškus dokumentus ir užkrėsti savo kompiuterius.
Kenkėjas „Operation Buhtrap“ naudoja keleto visiems prieinamų programų paketą, kuris yra sukonfigūruotas veikti piktybiškai, o taip pat NSIS diegimo programoje užslėptą trojano atsiuntimo programą bei specialiai sukurtą šnipinėjimo programą, kuri programišių tikslams panaudoja „Yandex Punto“ programinę įrangą.
Apkrėstuose kompiuteriuose programos leidžia kibernetiniams sukčiams kontroliuoti kompiuterį nuotoliniu būdu ir sekti kiekvieną vartotojo žingsnį. Kenkėjiška programa suteikia galimybę sukčiams slapta prisijungti prie užkrėsto kompiuterio, išgauti vartotojo slaptažodį ar net sukurti naują vartotoją „Windows“ sistemoje. Ji taip pat įdiegia mygtukų sekimo programą (angl. keylogger), iškarpinės seklį (angl. clipboard stealer), kompiuterio vartotojų identifikavimo kortelių (angl. smart card) sekimo modulį bei gali įdiegti ir valdyti papildomas kenkėjiškas programas.
„Ši kampanija yra dar vienas priminimas mums visiems, norintiems saugiai naudotis kompiuteriais. Turime užtikrinti, kad mūsų įrenginiai būtų tinkamai apsaugoti nuo virusų ir programinės įrangos pažeidžiamumų“, – sako ESET kenkejiškų programų tyrėjas Jean-Ian Boutin.
Pasak Jean-Ian Boutin, skirtingi nusikaltėlių metodai yra paprastai susiję su tiksline auditorija, į kurią taikomos atakos. Kai tik yra užkrečiamas tinklo kompiuteris, kibernetiniai sukčiai diegia papildomus įrankius, padedančius pirmiausia užkrėsti kitus įmonės tinkle esančius įrenginius, šnipinėti vartotojus ir bandyti įvykdyti suklastotas bankines operacijas.
Įdomu tai, kad visuose ESET tirtuose bankininkystės moduliuose – naujausias atliktas tyrimas buvo vykdytas 2015 sausio 18 d. – randama eilutė „TEST_BOTNET“, kuri siunčiama su kiekviena užkrėsto kompiuterio komanda tarp jo ir kenkėjiškos programos autoriaus.
ESET tyrėjai yra įsitikinę, kad ši operacija tęsiasi jau daugiau nei metus, tačiau kenkėjiška programa nuolatos yra tobulinama, kad išvengtų saugumo programų aptikimo.