Сайт українського розробника бухгалтерського ЗА поширював вірус

Сайт українського розробника бухгалтерського ЗА Crystal Finance Millennium (CFM) використовувався хакерами для поширення банківського трояна ZeuS. Інформацію оприлюднила компанія Cisco Talos, що спеціалізується на кібербезпеки. В рамках кампанії атаці піддалися більше 3000 комп'ютерів. Серед постраждалих в основному компанії із США і України. Найбільше заражених систем серед абонентів провайдера Укртелеком, повідомляє AiN.

Кампанія проводилася ще в серпні 2017 року, однак інформацію про неї оприлюднили тільки тепер. Фахівці Cisco Talos порівняли її з гучною атакою NotPetya, коли бекдор впровадили в бухгалтерське ПЗ M.E.Doc.

"Зловмисники все частіше намагаються зловживати довірчими відносинами між організаціями і виробниками програмного забезпечення в якості засобу досягнення своїх цілей", - відзначають експерти.

На відміну від NotPetya, в даному випадку шкідливий поширювали не через уразливий сервер, а через сайт компанії CFM. Жертв заражали по електронній пошті. У листах містилася ZIP-архів з файлом JavaScript, який працював як завантажувач, через який шкідливий завантажувався в систему з домену, пов'язаного з сайтом CFM. В ході атаки застосовувалася версія ZeuS 2.0.8.9.

Опинившись в пісочниці, шкідливий активував перманентний сплячий режим, в іншому випадку створювалася запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C&C-серверів. В рамках розслідування інциденту фахівці зафіксували 11 925 626 спроб зв'язатися з сервером від 3 216 унікальних IP-адрес.

Категория: Обо всем