Специалисты Group-IB Threat Intelligence обнаружили новые сайты, которые преступники используют для атак на российских бухгалтеров, юристов и директоров. По почерку, злоумышленники похожи на известную группу Buhtrap.
Заражение происходило при посещении сайтов, содержащие шаблоны различных документов. На них под видом ссылок на скачивание бланков размещались линки на скачивание ZIP-архивов, содержащих EXE-файл с именем, повторяющим название документа (пример — Document 139-3К.exe). В итоге загружался троян удаленного доступа (RAT), ранее использованный в атаках группы Buhtrap, который позволял следить за действиями пользователя и похищать деньги.
Эксперты полагают, что обнаруженная активность похожа на деятельность одной из преступных групп, использовавших банковский троян Buhtrap. Это вредоносное ПО также попадало на компьютеры жертв при посещении зараженного ресурса (Drive-by compromise, T1189) — популярных сайтов для бухгалтеров и юристов. Однако на этот раз преступники не взламывали популярные ресурсы, а использовали новые профильные сайты. Все домены были зарегистрированы в 2022 году, в настоящее время большая часть из них — заблокирована.
Напомним, что за активностью этого вредоносного ПО эксперты Group-IB наблюдают примерно с 2014 года: тогда исходные коды Buhtrap были опубликованы в открытом доступе, что спровоцировало волну атак через систему клиент-банк. В 2016 году Group-IB первой из вендоров выпустила отчет о деятельности преступной группы Buhtrap, обратив внимание на любопытную деталь: для Buhtrap характерны «волны активности» и количество успешных хищений с использованием этого ВПО то возрастает, то падает. Ущерб от атак группы Buhtrap, который зафиксировали эксперты Group-IB в 2020−2022 годах, оценивается как минимум в 2 млрд рублей. Глобальный ущерб от Buhtrap за все годы его активности может достигать 6−7 млрд рублей.
