Через сайт українського розробника бухгалтерського ПО поширювали троян ZeuS

10 Января, 2018, 13:00

7938

Сайт українського розробника бухгалтерського ПО Crystal Finance Millennium (CFM) використовувався хакерами для поширення банківського трояна ZeuS. інформацію оприлюднила компанія Cisco Talos, що спеціалізується на кібербезпеки. В рамках кампанії атаці піддалися більше 3000 комп'ютерів. Серед постраждалих в основному компанії з США і України. Найбільше заражених систем серед абонентів провайдера «Укртелеком».

Кампанія проводилася ще в серпні 2017 року, проте інформацію про неї оприлюднили тільки тепер. Фахівці Cisco Talos порівняли її з гучної атакою NotPetya, коли бекдор впровадили в бухгалтерське ПЗ MEDoc. «Зловмисники все частіше намагаються зловживати довірчими стосунками між організаціями і виробниками програмного забезпечення в якості засобу досягнення своїх цілей», - відзначають експерти.

На відміну від NotPetya, в даному випадку шкідливий поширюється не через вразливий сервер, а через сайт компанії CFM. Жертв заражали по електронній пошті. У листах містився ZIP-архів з файлом JavaScript, який працював як завантажувач, через який шкідливий завантажувався в систему з домену, пов'язаного з сайтом CFM. В ході атаки застосовувалася версія ZeuS 2.0.8.9.

Опинившись в пісочниці, шкідливий активував перманентний сплячий режим, в іншому випадку створювалася запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C & C-серверів. В рамках розслідування інциденту фахівці зафіксували 11 925 626 спроб зв'язатися з сервером від 3 216 унікальних IP-адрес.

Порушені мережеві провайдери

Нагадаємо, редакція AIN.UA підвела підсумки 2017 року області кібербезпеки України. Про те, в якому стані ця галузь, можна почитати тут .

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.