Хакер #305. Многошаговые SQL-инъекции
Специалисты «Лаборатории Касперского» обнаружили, что банковский троян Buhtrap распространялся с помощью watering-hole атак, — хакеры заразили русскоязычные новостные сайты.
Малварь Buhtrap впервые попала на радары экспертов еще в 2014 году, а ИБ-специалисты не раз посвящали одноименной хакерской группе развернутые отчеты. Так как операторы банкера активны по сей день, специалисты «Лаборатории Касперского» предупреждают, что недавно система поведенческого анализа компании, основанная на машинном обучении, обнаружила вредоносную активность, связанную с распространением Buhtrap.
Сообщается, что злоумышленники внедрили вредоносный скрипт на главные страницы ряда русскоязычных новостных сайтов, которые могли посещать их цели. Основное назначение Buhtrap — воровать деньги со счетов юридических лиц, так что в данном случае киберпреступники «охотились» на сотрудников финансовых отделов каких-либо организаций. После визита на такую страницу потенциальная жертва незаметно перенаправлялась на подконтрольный злоумышленикам сервер, и против нее использовался эксплоит для браузера Internet Explorer.
Злоумышленники использовали эксплоит для достаточно старой уязвимости в Internet Explorer (CVE-2016-0189, устранена еще в 2016 году), также известный как VBScript Godmode. Его код был почти полностью скопирован из открытого источника. Изменению подверглась лишь функция для доставки второй стадии полезной нагрузки, она расшифровывает и создает вредоносный powershell-скрипт со случайным именем в директории %TEMP%, затем вызывает его с использованием ShellExecute.
При этом сам powershell-скрипт является лишь загрузчиком: после запуска он проверяет наличие файла «06d488» в %TEMP%. Если такой файл отсутствует, скрипт загружает и запускает основной модуль малвари, то есть банкер Buhtrap.
Эксперты очередной раз призвали специалистов и простых пользователей не забывать и не лениться своевременно устанавливать обновления.