Троян Buhtrap разослали от имени взломанных пользователей «Диадока»
6 августа 2025 г. с зараженного компьютера пользователя «Контур.Диадока» разослали zip-архивы с вредоносным программным обеспечением. Решение «Лаборатории Касперского» детектирует это вредоносное ПО как HEUR:Trojan.Win32.Agentb.gen. Об этом CNews сообщили представители «Контура».
Специалисты «Контура» (при содействии «Лаборатории Касперского») определили, что зараженные трояном компьютеры, управляются с серверов: techbb[.]site, kogama[.]rest, maxboth[.]click, boxofwe[.]homes, minboth[.]click, 95.181.226.238.
Примеры хеш-сумм (список может расширяться): 34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c, 5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef, 9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857, a5d1d8ebf0efe272a7779ac26a8aba3b1d69a0b4678a37cc14287cd4d7273b16, c0461c68ad96bc01a7c31d5ad5fec48ee0db3e2112a10bb61ce38e1b8c8fbaaa.
Цель злоумышленника — кража денег через системы дистанционного банковского обслуживания (ДБО). Кибератака была направлена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки.
Сам сервис «Диадок» не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения.
Чтобы избежать дальнейшего распространения вредоносного ПО, «Контур.Диадок» заблокировал отправку зараженных документов и удалил отправленные. За короткий промежуток между отправкой архива и его удалением из системы некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах.
Как определить наличие трояна
Троян можно обнаружить по следующим признакам:
– Появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:\Users\***\AppData\Local\Pepebekap\Kebopeb.exe или C:\Users\***\AppData\Local\Kakobebabe\Lebobobela.exe
– Появление такого файла в списке автозагрузки.
– Незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer.
Действия «Контура» для локализации инцидента
За сутки специалисты «Контура» провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». Установили индикаторы компрометации и признаки заражения систем клиентов.
В сервисе «Контур.Диадок» предприняты следующие меры: выявлены и пресечены процессы распространения трояна среди клиентов, включая выборочное ограничение функциональности сервиса; заблокированы вредоносные файлы в объектном хранилище сервиса; актуализированы средства и системы обнаружения вредоносного ПО; производится непрерывный контроль за попытками распространения вредоносных файлов; проведена адресная работа с пострадавшими клиентами и оказание помощи в устранении последствий инцидента.
Что делать, если вы получили неизвестный архив
Если вы получили архив, действуйте так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускайте содержащиеся в нем исполняемые файлы.
Так как троян направлен на хищение денежных средств через системы дистанционного-банковского обслуживания и иные системы формирования платежных документов, внимательно контролируйте платежные поручения, которые вы отправляете. Особое внимание уделите реестрам платежных поручений: как правило, банковский троян добавляет «мошенническую платежку» в пачку платежей.
Проконтролируйте доступы к электронным подписям, которые вы используете для подписания платежных поручений, а также старайтесь использовать многофакторную аутентификацию при работе с финансовыми транзакциями.