Новостные сайты стали источником заражения банковским трояном

Эксперты в сфере кибербезопасности сообщили о новом трояне Buhtrap, ворующем банковскую информацию. Что примечательно, троян распространялся через ряд известных российский новостных сайтов (какие именно не сообщается). Больше всего пострадали пользователи из России, кроме того жертвами вируса стали украинцы и казахи.

Как выяснилось мошенники внесли скрипт вируса на главные страницы новостных сайтов. При открытии сайта-носителя трояна, пользователь перенаправлялся на сторонний сервер, там на компьютер запускался эксплоит VBScript Godmode для браузера Internet Explorer. Само внедрение скрипта на сайты трудно было заметить из-за использования для этого HTTPS.

Специалисты по кибербезопасности объяснили, что скрипт выполняет роль только загрузчика. После своего запуска скрипт проверяет в папке %TEMP% наличие файла «06d488». Если таковой файл не найден, то скрипт продолжает свою работу и запускает троян Buhtrap. Это приводит к тому, что мошенники могут управлять зараженной трояном системой.

Основной целью злоумышленников являются юридические лица, поэтому атакам подвергаются компьютеры работников финсферы в разнообразных организациях.
Ранее уже был прецедент атаки на компьютеры бухгалтеров и юристов через тематические сайты.

Сотрудники «Лаборатории Касперского» рекомендуют установить новые или обновить системы безопасности и запретить программы уделенного администрирования для сотрудников финансовых отделов.

Источник: securelist.ru