Сайт украинского разработчика бухгалтерского ПО Crystal Finance Millennium (CFM) использовался хакерами для распространения банковского трояна ZeuS. Информацию обнародовала компания Cisco Talos, специализирующаяся на кибербезопасности. В рамках кампании атаке подверглись более 3000 компьютеров. Среди пострадавших в основном компании из США и Украины. Больше всего зараженных систем среди абонентов провайдера “Укртелеком”.
Кампания проводилась еще в августе 2017 года, однако информацию о ней обнародовали только теперь. Специалисты Cisco Talos сравнили ее с нашумевшей атакой NotPetya, когда бэкдор внедрили в бухгалтерское ПО M.E.Doc. “Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей”, – отмечают эксперты.
В отличие от NotPetya, в данном случае вредонос распространяли не через уязвимый сервер, а через сайт компании CFM. Жертв заражали по электронной почте. В письмах содержался ZIP-архив с файлом JavaScript, который работал как загрузчик, через который вредонос загружался в систему с домена, связанного с сайтом CFM. В ходе атаки применялась версия ZeuS 2.0.8.9.
Оказавшись в песочнице, вредонос активировал перманентный спящий режим, в противном случае создавалась запись реестра для обеспечения исполнения при каждом запуске системы. Далее программа пыталась подключиться к различным C&C-серверам. В рамках расследования инцидента специалисты зафиксировали 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.
Затронутые сетевые провайдеры
Напомним, редакция AIN.UA подвела итоги 2017 года в области кибербезопасности Украины. О том, в каком состоянии данная отрасль, можно почитать здесь.
