Doel Buhtrap-malware op Russische bedrijfscomputers: data stelen en smartcards identificeren

Beveiligingsexpert ESET maakt de resultaten bekend van zijn diepgaand technisch onderzoek naar de Operation Buhtrap-malware. Dit is een georganiseerde aanval gericht op Russische Windows-gebruikers, waarmee cybercriminelen stiekem gegevens op computers kunnen bekijken en gevoelige en smartcardinformatie kunnen stelen.

Operation Buhtrap begon eind 2014 en blijft zich ontwikkelen. Kwetsbare Russische Windows-systemen lopen hierdoor gevaar. De campagne is gericht op een groot aantal Russische banken, maakt gebruik van verschillende code signing-certificaten en implementeert ontwijkende technieken om opsporing te voorkomen.

De aanvalsvectoren die ESET onderzocht, zijn Word-documenten die CVE-2012-0158 benutten. De cybercriminelen spammen ontvangers met kwaadaardige Word-documenten, zoals valse rekeningen of contracten van MegaFon, een grote Russische mobiele-telefoonoperator. Het doel: slachtoffers verleiden de kwaadaardige bijlagen te openen.

De malware in Operation Buhtrap maakt gebruik van een mix van standaardtools, een in NSIS-verpakte Trojaanse download en op maat gemaakte spyware die Yandex’s Punto-software aantast.

De tools die de cybercriminelen installeren op de computer van het slachtoffer, stellen hen in staat de computer op afstand over te nemen en de handelingen van de gebruiker vast te leggen. De malware maakt het de criminelen mogelijk een backdoor te installeren en probeert vervolgens het wachtwoord van het betreffende account te achterhalen. Het kan zelfs een nieuw account creëren. De malware installeert daarnaast een keylogger, een clipboard stealer en een smartcardmodule, en heeft de mogelijkheid extra malware te downloaden en uit te voeren.

“Deze aanval is voor iedereen weer een reminder dat we computers goed moeten beschermen en patchen tegen kwetsbaarheden”, zegt Jean-Ian Boutin, malwareonderzoeker bij ESET. “De technieken die de cybercriminelen gebruiken, zijn vaak onderdeel van doelgerichte aanvallen. Ze wijken nogal af van de traditionele malware in het bankwezen, waarmee we bekend zijn. Is een computer op een netwerk eenmaal aangetast, dan hebben de cybercriminelen toegang tot verschillende tools. Die helpen enerzijds andere computers in het bedrijf aan te tasten en anderzijds de gebruiker stiekem te volgen en te bepalen of er frauduleuze banktransacties uit te voeren zijn.”

Opvallend is dat alle bankiermodules die ESET analyseerde – waarvan de laatste op 18 januari 2015 – de string ‘TEST_BOTNET’ bevatten. Die wordt meegestuurd met alle communicatie met het command center en control center van de maker van de malware. ESET-onderzoekers hebben vastgesteld dat deze operatie al meer dan een jaar gaande is en dat de malware voortdurend verbeterd wordt om opsporing te voorkomen en resultaten te maximaliseren.