Троян в нагрузку

CERT Group-IB: фальшивые бухгалтерские сайты «заразили» около 200 тыс. пользователей

Ярослав Каргалев,

заместитель руководителя CERT Group-IB

Group-IB обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM. Жертвами атаки злоумышленников стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. Три ресурса, появившихся в апреле этого года, уже успели посетить по самым скромным подсчетам 200 000 человек.

Новая преступная схема была раскрыта после того, как наш Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносной программы в одном из российских банков. В ходе расследования обнаружилась интересная деталь — троян загружался с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов — бланков, контрактов, счетов-фактуры и документов налогового учета.

Мы столкнулись с новой схемой: анализ сайта buh-docum[.]ru показал, что он был зарегистрирован и заполнен профильным контентом (сайт содержал сотни различных финансовых документов) как приманка для финансовых директоров, главных бухгалтеров, юристов, то есть на тех, кто владеет правами доступа к управлению счетами организаций. Именно благодаря своему профилю деятельности они, как правило, чаще других становятся мишенями хакерских атак.

Как работала схема

При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 году исходный код вируса появился на хакерских форумах). Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов (так называемых «ключевиков»):

Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM. Оба нацелены на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем. По оценке Group-IB, каждая подобная успешная атака ежедневно приносила злоумышленниками, в среднем 1,2 млн рублей. На данный момент часть сайтов заблокированы либо находятся в процессе блокировки.

Троян Buhtrap — известен с 2014 года, созданные одноименной преступной группой. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В 2016 году исходный код Buhtrap появился в открытом доступе. Троян RTM появился в конце 2015 года. Он нацелен на работу с ДБО и платежными системами. RTM является модульным, его модули подменяют реквизиты, считывают нажатия клавиатуры, подменяют DNS-сервера и сертификаты безопасности, осуществляют снимки экрана и т.п.

Стоит отметить, что для заражения компьютеров пользователей злоумышленники обычно взламывают популярные сайты и внедряют вредоносный код. Эта тактика называется watering hole. Например, в 2017 году таким образом были инфицированы ресурсы glavbukh.ru, Клерк.ру и т.д. При этом, вредоносная нагрузка не присутствовала на них постоянно, а «активизировалась» по команде авторов троянской программы, что значительно затрудняло её детекцию.

Тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов. В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по 2 успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн рублей.

Сеть для главбуха

Исследуя сайт buh-docum[.]ru, сотрудники CERT Group-IB обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Сеть фальшивых бухгалтерских сайтов насчитывала, как минимум, пять ресурсов, объединенных общей задачей: распространение вредоносных программ при скачивании бухгалтерских бланков и счетов.

Среди таких ресурсов специалисты Group-IB выявили:

buh-docum[.]ru
patrolpolice[.]org.ua
buh-blanks[.]ru
buh-doc[.]online
buh-doc[.]info

Два домена были зарегистрированы еще в сентябре 2017 года, остальные работали всего несколько месяцев. Посетителями каждого из сайтов за это время стало минимум 200 тыс.. потенциальных жертв. Ресурсы регулярно появлялись в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).

Любопытно, что, несмотря на схожий контент, на созданных злоумышленниками ресурсах технические способы загрузки вредоносных экземпляров имели различия. Так с нескольких ресурсов при попытке скачать необходимый документ происходила загрузка вредоносных файлов с расширением .exe.

В другом случае происходила прямая загрузка вредоносного экземпляра с этого же сайта:

Кроме того, был зафиксирован способ установки трояна через инфицированный офисный документ Microsoft Word, эксплуатирующий публичную уязвимость конца 2017 года (CVE-2017-11882). Этот пример – наиболее опасен, так как риск заражения существенно выше. Чтобы затруднить расследование, злоумышленники использовали в этой схеме проверку уникальности посетителя с помощью интернет-счетчиков, поэтому при последующих попытках получить необходимый документ, посетитель получал уже нормальные офисные документы.

Сейчас опасные сайты, раздающие вредоносные программы, уже ликвидированы группой оперативного реагирования CERT Group-IB, другие недоступны по техническим причинам. Тем не менее, мы не исключаем, что таких ресурсов может быть больше.

Для того, чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз

Необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса "песочница").

Компьютеры, которые работают с бухгалтерскими и банковскими системами, должны быть изолированы, а доступ по внешнюю сеть должен быть разрешен только по «белым спискам» (White lists).

Нужно внедрять системы защиты основных узлов и компьютерных систем, своевременно обновлять ПО – операционные системы, приложения, браузеры. Именно через старые версии офисного ПО и уязвимости в браузере происходит заражение программой Buhtrap.

Кроме того сотрудники, попадающие в «группу риска» — бухгалтеры, системные администраторы, секретари в обязательном порядке должны проходить тренинги по информационной безопасности, а всю IT-инфраструктуру компании два раза в год необходимо проверять в ходе "боевых учений".

Для того, чтобы знать о готовящихся атаках заранее, необходимо выходить за пределы собственного периметра и получать информацию об угрозах, преступных группах, их тактике и используемых инструментах. Лучше всего это позволяет сделать система предупреждения киберугроз Threat Intelligence (киберразведка). Иначе цена их ошибки может быть очень высока.

Если материал вам понравился, расскажите о нём друзьям!

Другие интересные статьи:

Hi-Tech Crime Trends 2020/2021

киберугрозы, тенденции и прогнозы

Щит и меч

Group-IB Fraud Hunting Platform защитит «цифровую личность» пользователя

Big Game Hunting - теперь и в России

Операторы шифровальщика OldGremlin атакуют крупные компании и банки в России

Вскрываем ProLock

Анализ действий операторов нового вымогателя по матрице MITRE ATT&CK

Узнавайте первыми

о новейших киберугрозах и расследованиях