BUHTRAP банкері қайтадан жаналықтар арқылы таратылуда

«Касперский Зертханасының» сарапшылары танымал ресейлік бір БАҚ порталында банктік Buhtrap троянымен зақымдауға әкелетін зиянды кодты айқындады.

Шабуылдардың бірінші толқынын зерттеушілер 2018 жылғы наурыздың аяғында тіркеді. Содан бері зиянкестер өз арсеналын жаңартты және жетілдірді. Егер бұрын зиянды скрипт жаңалықтар ресурстарының басты парақтарындақамтылған болса, ал ағымдағы кампанияда сайт толығымен зақымдалды. Обфускация кодысервер жағында енгізіледі.

Көктемдегідей,жария етілген порталға кіруші зинды парақшаға байқатпайбағытталады. Бірақ ескі Internet Explorer осалдығының орнына зиянкестер жақында жабылған CVE-2018-8174 осалдығын пайдаланады. Оның көмегімен бұзушылар белсенді пайдаланушы атынан басқа кодты орындап, жабдықта ұқсас құқықтарды ала алады.

Қылмыскерлер, өткен жолғыдай, осы қателікке арналған эксплойтты Желіден көшіріп алып, іс жүзінде өзгертпеген.Сыртының пайдалы жүктемені жеткізудің алғашқы кезеңіне жауап беретін скрипті ғана қайта жазылған болып шықты.

Бұзушылар жүйеге сәтті кіргеннен кейін тағы бір салыстырмалы түрде жаңа қателік - CVE-2018-8120 арқылы өз басымдылықтарын арттыруға әрекет жасайды. Осалдылық Win32k компонентінде жасырынып, зиянкестерге еркін кодты ядроның деңгейінде орындауға, сыртқы БҚ орнатуға және тең құқығы бар есептік жазбалар жасауға мүмкіндік береді.

Кампанияны айқындау мен талдауды қиындату үшін зақымдаудың барлық кезеңдері қайтадан қорғалған HTTPS хаттамасы арқылы жүзеге асырылады. Бұл үшін қылмыскерлер Let’s Encrypt тегін TLS-сертификаттарын алды.

Buhtrap банкері — бұл әртүрлі тыңшылық функцияларын орындау мен бұзушыларға зақымдалған құрылғыны бақылау мүмкіндігін беруге қабілетті модулдік троян. Зиянкестің бірінші нұсқалары 2014 жылы пайда болған,әр уақыттаол спам-жіберілім арқылы таратылған және рұқсат етілген плагин түрінде жасырынған. Жақын арада Buhtrap бастапқы коды Интернетте ашық қолжетімді болып шықты. Оған толық нұсқаулықтар, сондай-ақ банктердің АҚ- сарапшыларының байланыстары қоса берілген.

Ақпарат көзі: threatpost.ru