Чтобы нацелить кибератаку на бухгалтеров, можно использовать рабочие документы, которые они ищут в сети. Примерно так в последние несколько месяцев действовала кибергруппа, распространяющая известные бэкдоры Buhtrap и RTM, а также шифраторы и ПО для кражи криптовалют. Большинство целей расположены в России. Атака реализована путем размещения вредоносной рекламы в Яндекс.Директ. Потенциальные жертвы переходили на сайт, где им предлагалось скачать вредоносный файл, замаскированный под шаблон документа. Яндекс удалил вредоносную рекламу после нашего предупреждения.
Исходный код Buhtrap в прошлом был слит в сеть, поэтому его может использовать кто угодно. Мы не располагаем информацией относительно доступности кода RTM.
В посте расскажем, как атакующие распространяли вредоносное ПО с помощью Яндекс.Директ и хостили его на GitHub. Завершит пост технический анализ малвари.
