После атак через сервис электронного документооборота (ЭДО) в третьем квартале 2025 года злоумышленники переключились на создание инфраструктуры для распространения ВПО Buhtrap через привычную схему с сайтами-приманками для бухгалтеров и юристов.
Buhtrap — название вредоносного ПО и одноименной преступной группы, действующей с 2014 г. В 2016 году исходные коды Buhtrap были опубликованы в открытом доступе, после чего его стали использовать разные финансово-мотивированные атакующие. В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной программой Buhtrap.
Эксперты Центра кибербезопасности и департамента Threat Intelligence компании F6 проанализировали новые атаки. Сама схема попадания жертвы на целевой ресурс не изменилась. По-прежнему, чтобы жертве попасть в ловушку, необходимо перейти на сайт-приманку через поисковую выдачу.
![Рисунок 1 – Запрос в поисковой выдаче и сайт-приманка nashglavbuh[.]org.](https://habrastorage.org/r/w1560/getpro/habr/upload_files/0c0/82c/8b0/0c082c8b03b5ed0e7f8fb3530d6ee532.png "Рисунок 1 – Запрос в поисковой выдаче и сайт-приманка nashglavbuh[.]org.")
После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса – auditok[.]org. Пример такой ссылки – hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip. Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.
За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js. После начала работы проверяется наличие параметров yclid и etext. Эти параметры несут информацию о переходе с рекламы, и в таком случае будет выставлен параметр fromAds в значение 1.
Далее выполняется проверка параметра fromAds, и если его нет, то скрипт завершает работу. Если параметр fromAds существует, то будет установлен обработчик события клика, который обрабатывает каждый клик и проверяет на условия:
1. Проверяет наличие ссылки в объекте, по которому был выполнен клик через выполнение closest("a");
2. Проверяет, что у ссылки нет атрибута ["dataset"]["nohook"];
3. Проверяет наличие в ссылке расширений файлов (rar|zip|pdf|doc|xls|rtf).
Если все условия выполняются, то будет создан ��ег ссылки, и выполнен клик по нему. Ссылка в теге формируется по шаблону: hxxps://www.auditok[.]org/uploads/{year}_{month}_{date}_{hour}_{minutes}_{seconds}.zip с указанием атрибутов тегу:
"download" - ""
"target" - "_blank"
"rel" - "noopener noreferrer"
"referrerPolicy" - "no-referrer"
["dataset"]["nohook"] (data-nohook) - "true"
После чего данный тег добавляется как дочерний элемент, и выполняется клик по этому объекту. Далее выполняется таймаут на 5 секунд, и данный элемент удаляется.
Результат детонации ВПО в F6 Malware Detonation Platform доступен по ссылке.
Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe. Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений. Цепочка выглядит следующим образом:
EXE-лоадер первой стадии -> stage2-дроппер -> stage3-лоадер -> Buhtrap RAT.
Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер.
stage2-дроппер создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.
Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe.
Закрепление stage3-лоадера осуществляется через реестр
Путь: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ключ: [a-z]{6,16} Service
Значение: %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe
Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp%. Имена соответствуют регулярному выражению [a-z]{6,16}\.log
Лог-файлы содержат тысячи строк следующего формата:
[17653362441] – unixtime, время записи в формате Unix Timestamp указанной строки в файл.
retocot – некая строка формата [a-z]{6,16}. Предположительно, создание данных лог-файлов сделано для борьбы с песочницами. Создаётся 3 файла, и в них построчно, с задержкой в 20мс, записываются случайные данные большого объема. Это занимает время, и в песочницах из-за этого увеличивается шанс того, что сканирование не выполнится до стадии извлечения и запуска пейлоада.
Затем stage3-лоадер распаковывает и запускает в памяти пейлоад – Buhtrap RAT.
Далее Buhtrap RAT:
Создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера;
Создает файл %AppData%\ntлseШ.dat и записывает туда информацию о подключенных смарткартах.
В качестве С2 используются URL:
hxxps://hakeowner[.]org/images/ui.png
hxxps://bucketadd[.]org/images/logo.png
Стоит отметить небольшие отличия между текущей кампанией и недавними атаками через сервис ЭДО, в атаках через ЭДО:
Имя файла лоадера третьей стадии и название папки, в которой он создается, имеют формат %LocalAppData%\\[A-Z]{1}[a-z]{6,16}\\[A-Z]{1}[a-z]{6,16}\.exe;
Имена лог-файлов в %Temp% и случайные строки имеют формат %Temp%\\[A-Z]{1}[a-z]{9}\.log и [A-Z]{1}[a-z]{6,16}, соответственно;
Файл для записи логов кейлоггера – %AppData%\barse\tjrvmg.dat;
Ранее встречавшиеся С2 – hxxps://babacar[.]click/images/ui.png и hxxps://techbb[.]site/images/avatar.png.
Индикаторы компрометации
Домены:
nashglavbuh[.]org
auditok[.]org
svet-audit[.]com
C2 Buhtrap:
hxxps://hakeowner[.]org/images/ui.png
hxxps://bucketadd[.]org/images/logo.png
Реестр:
Путь: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ключ: [a-z]{6,16} Service
Значение: %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe
Файлы:
2025_[0-9]{2}_[0-9]{2}_[0-9]{2}_[0-9]{2}_[0-9]{2}\.zip
копия \([0-9]+\)\.exe
%LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe
%AppData%\araba\barada.dat
%AppData%\ntлseШ.dat
Imphash:
ddd06131fa8b705c3c9439ee462741ae – stage1-лоадер
8762fcdf43a2080ff52348b856169a2d – stage1-лоадер
bd6b6210241be8850c29ea8476ed9534 – stage3-лоадер
d69989f700c8f5575bb77559807bfc5f – stage3-лоадер
