Плохие новости: троян Buhtrap атакует счета организаций через новостные сайты

Новостные сайты заражали посетителей банковским трояном Buhtrap, ворующим деньги со счетов юридических лиц.

Почитать свежие новости по дороге на работу или в обеденный перерыв может быть опасно. По крайней мере, вчера было именно так — на главных страницах нескольких крупных новостных сайтов был обнаружен зловредный скрипт, приводивший к загрузке на компьютер банковского трояна Buhtrap.

Стоило только жертве открыть привычный и давно себя зарекомендовавший сайт — как ее незаметно переправляло на подконтрольный злоумышленникам сервер. Затем при помощи эксплойта для браузера злоумышленники получали возможность закачать на компьютер жертвы собственно трояна. Это, конечно, не значит, что уважаемые новостные ресурсы сами разместили у себя такой вредоносный скрипт. Скорее всего, их взломали.

Троян Buhtrap, которым заражали компьютеры посетителей сайтов, — штука не новая. Первые его версии мы наблюдали еще в 2014 году. Раньше его распространяли в основном через спам, а теперь вот через атаку типа watering hole, то есть с заражением сайтов, которые склонны посещать жертвы (кстати, уже не в первый раз). Примечательно, кстати, что на этот раз большую часть кода злоумышленники взяли из открытых источников и лишь чуть-чуть его модифицировали.

Основное назначение Buhtrap — воровать деньги со счетов юридических лиц, так что целью киберпреступников в данном случае было заразить компьютеры сотрудников финансовых отделов каких-нибудь организаций.

Впрочем, в сочетании с дополнительными модулями троян может получить практически полный контроль над зараженной машиной, и кто знает, что взбредет в голову злоумышленникам помимо кражи денег у компаний. Так что лучше заражения избегать — вне зависимости от того, имеете ли вы отношение к финансам или нет.

Избежать заражения довольно просто — достаточно следовать вот этим двум советам:

• Всегда обновляйте программное обеспечение. В данном случае злоумышленники эксплуатировали уязвимость в Internet Explorer (CVE-2016-0189), закрытую еще в 2016 году. То есть если вы пользовались не Internet Explorer или ставили обновления для него, то атака на вас не сработала бы.

• Используйте надежное защитное решение. Для домашних устройств мы рекомендуем Kaspersky Internet Security. Сотрудники малого бизнеса могут защититься с помощью Kaspersky Small Office Security, а для крупных организаций подойдет Kaspersky Endpoint Security for Business. Все наши защитные решения детектируют как сам Buhtrap, так и зловредный скрипт, который пытается его загрузить. Если у вас на компьютере есть надежный антивирус — можете спокойно продолжать читать новости в обеденный перерыв.

31.03.2018