به گزارش کارگروه حملات سایبری سایبربان؛ شرکت آنتیویروس ایست (ESET) در گزارشی اعلام کرد یک حمله سایبری علیه سازمانهای تجاری و کسبوکار روسیه شناسایی کرده است.
به گفته کارشناسان این شرکت، عملیات مهاجمان «Buhtrap» نامگرفته و در جریان آن هکرها نرمافزار مخربی در رایانههای با سیستمعامل ویندوز که زبان پیشفرض آنها روسی بوده نصبکردهاند.
منبع آلوده سازی اسناد ورد و اکسپلویتی بوده که از طریق ایمیلهای فیشینگ منتشر میشدهاند. این اسناد به فاکتورهای ارائه خدمات و قراردادهای اپراتور مخابراتی مگافون روسیه شبیهسازیشدهاند.
اسناد مخرب باز از طریق دانلود آرشیو استخراج شونده 7z با ماژولهای مخرب، برنامه جاسوسی بانکی در رایانه قربانی نصب میکنند. بسیاری از ماژولها با گواهینامههای دیجیتال معتبر امضاء میشوند. این گواهینامهها برای اشخاص حقوقیای که در مسکو ثبتشدهاند، صادرشدهاند.
بر طبق گزارش ایست، بهمحض اینکه بدافزار نصب میشود، مهاجمان با بهرهگیری از ابزارهای نرمافزاری امتیازات خود در سیستم را ارتقاء دهند و اقدام به آلوده سازی رایانههای باقیمانده، جاسوسی از کاربر و ردیابی تراکنشهای بانکی او مینمایند.
برنامه جاسوسی در نقش کیلاگر اطلاعات دکمههای ثبتشده و محتوای کلیپ بورد را به سرور از راه دور ارسال کرده و کارتهای هوشمند موجود در سیستم را دستهبندی میکند. محققان ایست معتقدند روشهای عاملان عملیات «Buhtrap» مختص حملات هدفمند بوده و ارتباطی به کلاهبرداری مالی ندارد.
