#security #blue_team #buhtrap

Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер, который создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.

Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe. Закрепление stage3-лоадера осуществляется через реестр.

Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp% по регулярному выражению [a-z]{6,16}\.log.

Предположительно, сделано для борьбы с песочницами. 

Затем stage3-лоадер распаковывает и запускает в памяти пейлоад - Buhtrap RAT.

Далее RAT создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера, а также файл %AppData%\ntлseШ.dat, куда вводит информацию о подключенных смарткартах

С2 URL: hxxps://hakeowner[.]org/images/ui.png и hxxps://bucketadd[.]org/images/logo.png.

Отчёт: https://habr.com/ru/companies/F6/news/975730/

#security #blue_team #buhtrap

Пользователь переходит на сайт-приманку через поисковую выдачу.

Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах.

После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса - auditok[.]org.

Пример такой ссылки - hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip.

Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.

За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js.

Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe.

Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений, и включает следующие элементы: EXE-лоадер первой стадии - stage2-дроппер - stage3-лоадер - Buhtrap RAT.