Почему даже доверенные сервисы могут стать источником угроз (и как себя защитить)

Что произошло: случай с трояном Buhtrap

Недавно компания СКБ Контур обнаружила масштабную атаку на пользователей популярного сервиса электронного документооборота Диадок. Злоумышленники запустили настоящую "цепную реакцию" заражения.

Важно понимать: сам портал Диадок не был взломан. Проблема оказалась гораздо коварнее.

Как работала "цепная реакция" заражения

Схема напоминала распространение инфекции:

• Этап 1: Злоумышленники взломали несколько аккаунтов клиентов Диадока
• Этап 2: От имени этих компаний начали рассылать зараженные ZIP-архивы с трояном Buhtrap своим деловым партнерам
• Этап 3: Получатели видели знакомое имя отправителя, доверяли файлу и запускали его
• Этап 4: После заражения их компьютеры автоматически начинали рассылать вирус дальше — уже от имени новых жертв
• Этап 5: Так вирус распространялся по цепочке от одной компании к другой, используя реальные деловые связи

Цель атаки: кража денег через системы интернет-банкинга и перехват платежных операций.

Что делает троян Buhtrap