Специалисты «Лаборатории Касперского» предупредили о всплеске активности банковских троянов Buhtrap и RTM. По данным компании, 90% попыток заражения пришлись на Россию.
Основной целью операторов данной малвари является кража денег со счетов юридических лиц. В частности, за неполные два месяца 2019 года защитными решениями компании были зафиксированы попытки заражения Buhtrap примерно на 200 устройствах, в 2018 году этот показатель составил более трех тысяч.
Атаки RTM были заблокированы более чем у 30 000 пользователей (в 2018 – почти 140 000 пользователей). Значительный рост числа атак этих двух видов корпоративных троянцев начался в III квартале 2018-го года, и с тех пор их интенсивность остается на высоком уровне.
Банкеры Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер – информационные технологии, преимущественно региональные компании, юриспруденция и малое производство.
Buhtrap распространяется через эксплоиты, внедренные на новостные сайты, при условии, что жертва использует браузер Internet Explorer. При загрузке вредоносного скрипта с зараженного ресурса применяется шифрованный протокол WebSocket, что затрудняет анализ и позволяет обойти детектирование объекта с помощью некоторых защитных решений. Вредоносное ПО распространяется с использованием уязвимости, известной с 2018 года.
Малварь RTM атакует пользователей посредством фишинговых рассылок. Темы и тексты сообщений содержат информацию, характерную для переписки с финансовыми структурами: например, «Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность». Заражение происходит после перехода по ссылке или открытия вложения.
Buhtrap и RTM в связке с подгружаемыми модулями дают атакующим полный контроль над зараженной системой. Конечной целью злоумышленников является кража денежных средств со счетов юридических лиц. Оценить совокупный ущерб крайне сложно, при этом, по подсчетам экспертов, злоумышленники проводят нелегальные транзакции, каждая из которых не превышает одного миллиона рублей. Кража происходит посредством подмены реквизитов в платежных поручениях, как это делалось в рамках вредоносной кампании TwoBee, или вручную с помощью средств удаленного доступа.
«В последний год мы наблюдаем всплеск атак Buhtrap. В 2018 году количество детектов этого вредоносного ПО выросло на 74% по сравнению с 2017. Более того, на устройства некоторых пользователей после установки Buhtrap также загружается другой банковский троянец RTM, что позволяет совершать ещё большее число мошеннических операций. В 2018 году мы наблюдали увеличение количества атак RTM на 5000%», – подчеркнул Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Фото: "Лаборатория Касперского"