Через сайт українського розробника бухгалтерського ПЗ поширювали троян ZeuS


Через сайт українського розробника бухгалтерського ПЗ поширювали троян ZeuS

Сайт українського розробника бухгалтерського програмного забезпечення Crystal Finance Millennium (CFM) використовувався хакерами для поширення банківського трояна ZeuS.

Про це повідомляє Ain.ua з посиланням на дані компанії Cisco Talos.

Відзначається, що в рамках кампанії атаки зазнали більш ніж 3000 комп’ютерів. Серед постраждалих в основному компанії з США і України. Найбільше заражених систем серед абонентів провайдера “Укртелеком”.

Кампанія проводилася ще в серпні 2017 року, проте інформацію про неї оприлюднили тільки тепер. Фахівці Cisco Talos порівняли її з гучною атакою NotPetya, коли бекдор впровадили в бухгалтерське ПЗ M.E.Doc.

“Зловмисники все частіше намагаються зловживати довірчими стосунками між організаціями і виробниками програмного забезпечення як засобом досягнення своїх цілей”, – відзначають експерти.

На відміну від NotPetya, в даному випадку вірус поширюється не через вразливий сервер, а через сайт компанії CFM. Жертв заражали по електронній пошті. У листах містився ZIP-архів з файлом JavaScript, який працював як завантажувач, через який вірус завантажувався в систему з домену, пов’язаного з сайтом CFM.

Опинившись на комп’ютері, вірус активував перманентний сплячий режим, в іншому випадку створювався запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C&C-серверів.

В рамках розслідування інциденту фахівці зафіксували 11 925 626 спроб зв’язатися з сервером від 3 216 унікальних IP-адрес.

  • i

    Якшо Ви помітили помилку, виділіть необхідну частину тексту й натисніть Ctrl+Enter, щоб повідомити про це нам.

Дивись також
В Контексті Finance.ua