BUHTRAP ha regresado al mundo real

glavbukh.ru fue atacado con Buhtrap
glavbukh.ru fue atacado con Buhtrap

El software malicioso Buhtrap y el grupo de ciberdelincuencia con el mismo nombre se conocen desde 2015.

Buhtrap como grupo ha llevado a cabo ataques dirigidos contra los bancos de los cuales todos hemos leído acerca de sus acciones en el pasado.

El principal vector de infección utilizado por el grupo Buhtrap fue un spear phishing mensajes de correo electrónico.

A principios de 2016, los códigos fuente del malware Buhtrap se publicaron en libre acceso, lo cual como todos sabemos complica mucho más el panorama de la seguridad global.

Tras su liberación, aparecieron informes de que otros grupos de delitos cibernéticos comenzaron a utilizarlo.

Pude verificar, tras profundas investigaciones que los grupos ProxyAdder y RTM utilizaron Buhtrap loader para propagar diferentes campañas de malware.

No hubo actividades cibercriminales de relevancia asociadas con el software Buhtrap en 2017, hasta que ocurrió un nuevo incidente.

En este incidente, la infección se llevó a cabo utilizando diferentes recursos legítimos y comprometiendo e inyectado un script malicioso JS.

Asumo que el nuevo ataque fue conducido por otro grupo, no el Buhtrap original, sino terceros que utilizaron sus aplicaciones maliciosas, los románticos de la seguridad podrán ver un giro a la vieja escuela de la seguridad.

NUEVO ATAQUE AL CORAZÓN DEL MUNDO CONTABLE

Diferentes análisis que ubiqué en la web profunda, dicen que el recurso informativo para contadores «glavbukh.ru» fue comprometido.

Después de la visita al sitio, el script JS malintencionado se descarga desde virtual-earth.de (que también está comprometido) y después se explotará dicha vulnerabilidad en el navegador.

Como resultado, el script malicioso de PowerShell descarga y lanza el cargador de Buhtrap.

Después de eso, la aplicación legítima AbiWord.exe se descargará en la máquina de la víctima y en su catálogo había un archivo DLL con el nombre del sistema y el archivo .dat cifrado.

Después del lanzamiento de la aplicación AbiWord.exe, se descarga la biblioteca DLL que está destinada al descifrado del archivo .dat.

Este archivo es el vector que se utilizó en el ataque referido.

La primera vez que se detectó actividad en esta nueva campaña maliciosa fue el pasado 30 de marzo de 2017 y tras un profundo análisis periodístico, podemos concluir que BUHTRAP ha regresado al mundo real de la criminalidad cibernética.

 

 

 

 

 

 

Por Marcelo Lozano – Analista de Seguridad y General Publisher IT CONNECT Latin American Chapter

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion