安全研究人员发现一个活跃时间已超过一年且很可能以经济利益为目的的恶意活动，利用复杂的感染技巧攻陷了属于俄罗斯及乌克兰金融企业的计算机系统。这些攻击者使用定制工具检查存储在被感染机器上的信息，并利用错综复杂的技巧及合法代码签名证书躲避检测。

间谍软件安装在被攻陷系统中

ESET的安全研究人员将这款恶意软件命名为Buhtrap，并认为这些恶意活动主要关注企业的财务会计部门，原因是所使用的恶意软件包括这些部门软件及银行APP的参考资料。此外，一些用来与威胁通信的命令及控制（C&C）服务器与会计论坛域名类似。

首先，攻击者发送了一份来自俄罗斯一家主要移动运营商MegaFon的发票或合同word文档。一旦计算机被攻陷，黑客可远程控制并通过键盘登录及剪贴板窃取模块记录用户行为。同时，这款恶意软件还具有文件下载及执行功能，允许入侵者添加威胁以扩展对机器的控制或者转移到网络中的另外一台机器上。

下载正常的软件伪装以躲避检测

为躲避检测，黑客利用一个有效证书（共四个）对恶意组件进行签名。这些证书属于莫斯科公司（Stroi-Tekh-Sever、 Flash、OOO “Techcom” 、及Torg-Group）。研究人员认为这些证书是偷盗而来并已通知相关公司予以撤销。

此外，攻击者还从命令及控制服务器中下载正常的软件。安全研究人员指出，“我们下载的一个正常的存档中还安装了Windows Live工具栏。虽然安装软件的方式是恶意的，但最后的有效负载并非如此。这些技巧很可能是为了欺骗自动处理系统：因为下载了有效负载，系统就可能认为到此结束了。”另外，由于使用了多个恶意数据包，而且其中所包含的模块各不相同，说明这些都是针对特定目标而准备的。

与恶意活动Carbanak的类似

据统计，88%的受害者来自俄罗斯，仅有10%来自乌克兰，其余的2%身份不明。研究人员指出，所有的证据表明，Buhtrap发动的是有针对性的攻击，而且与Anunak/Carbanak恶意活动方式类似。

尽管所使用的工具并不新鲜，但Buhtrap与安全研究人员之前发现的恶意软件活动并不相同，它可能会为其它攻击者提供一种新型且更聪明的攻击技巧。

*参考来源softpedia.com，codename2015翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）