Jena, 30. April 2019 – ESET-Forscher sind wieder auf alte Bekannte gestoßen: Buhtrap und RTM in neuen Versionen. Die Kriminellen haben es gezielt auf Buchhaltungen in russischen Unternehmen abgesehen. Neben den beiden Backdoors setzen die Angreifer auf Ransomware und Kryptowährungs-Stealer. Über das Posten von Werbeanzeigen über Dokumentenvorlagen auf dem Online-Dienst Yandex.Direct sollten die potentiellen Ziele auf Webseiten umgeleitet werden, wo die manipulierten Vorlagen zum Download angeboten wurden. Yandex ist der größte Suchmaschinenanbieter in Russland und Yandex.Direct der dazugehörige Werbedienst. ESET hat das Unternehmen kontaktiert und die Malvertising-Kampagne wurde entfernt. Wer hinter den Attacken steckt ist derzeit noch unklar.
„Die Schaddateien wurden alle auf Microsofts GitHub gehostet“, erklärt Thomas Uhlemann, ESET Security Specialist. „Hierdurch war uns möglich einen exakten Verlauf der Kampagne zu rekonstruieren und nachzuvollziehen, welches Schadprogramm wann verteilt wurde.“
Ihre weiteren Ergebnisse und detaillierte Informationen haben die ESET Security-Experten auf WeLiveSecurity veröffentlicht: https://www.welivesecurity.com/deutsch/2019/04/30/buhtrap-backdoor-ransomware-ad-plattform-russland/