Отмечается, что «Операция Buhtrap» длилась не менее года, при этом большинство заражений (88%) пришлось на пользователей из РФ. Как стало известно, преступники устанавливали вредоносное программное обеспечение на компьютеры с ОС Windows, где по умолчанию используется русский язык. В качестве источника заражения выступал документ MS Word c эксплойтом CVE2012-0158, рассылавшийся по электронной почте через фишинговое письмо. Такие документы могли имитировать контракты оператора «МегаФон», счета на оплату услуг.
При открытии вирусный документ начинал устанавливать на компьютер шпионское ПО через скачивание архива формата 7z с вредоносными модулями, который самостоятельно распаковывается. После установки программы злоумышленники расширяли свои полномочия в системе через установку бэкдора LiteManage и компрометировали другие компьютеры, шпионили за пользователями, отслеживали их банковские транзакции. Так, шпионское ПО могло отслеживать и передавать на удаленные серверы содержимое буфера обмена, кейлоггер (нажатие клавиш), а также перечисляло присутствующие в системе смарт-карты.
По мнению экспертов, данная атака имеет сходство с крупным инцидентом с использованием банковского трояна Anunak/Carbanak. При этом создатели «Операции Buhtrap» применили методы, которые характерны для таргетированных атак и не связаны с финансовым мошенничеством.
Кроме того, Центробанк отмечает участившиеся случаи совершения денежных переводов с использованием мобильных устройств без согласия их владельцев. Как сообщается, несанкционированные операции осуществляются после заражения гаджетов вредоносными программами через спам-рассылку сообщений (e-mail, SMS-сообщения), в которых содержатся ссылки на внешние ресурсы, либо в результате перехода пользователем мобильного устройства по таким ссылкам на ресурсы Глобальной сети.
Установлено, что эти вирусы обладают различными возможностями: создают и отправляют от имени владельца телефона распоряжения на переводы денежных средств через СМС-сообщения на короткие номера, приложения систем ДБО и иные приложения, используемые для оплаты товаров/услуг, а также перехватывают одноразовые секретные коды, которые поступают на мобильное устройство для подтверждения операции.
Как правило, вредоносная программа скрывает от пользователя уведомления о списании средств, приходящие от банка. Таким образом, клиент не знает о несанкционированных операциях и не может оперативно направить в финучреждение уведомление о перечислении денег без его согласия. В связи с этим регулятор рекомендует лицам, совершающим денежные переводы с использованием мобильных устройств, установить антивирусное ПО, не переходить по сомнительным ссылкам, своевременно уведомлять свою кредитную организацию о смене номера телефона (который привязан к «Мобильному банкингу»), не сообщать сторонним лицам ПИН-код карточки и контрольный код (указан на оборотной стороне «пластика»), одноразовые коды подтверждения, пароль от «Клиент банка».
