Через сайт українського розробника бухгалтерського ПЗ поширювали троян ZeuS
Сайт українського розробника бухгалтерського програмного забезпечення Crystal Finance Millennium (CFM) використали хакери для поширення банківського трояна ZeuS. Під час кампанії атаці піддалися понад 3 тис. комп'ютерів, пише AIN.ua.
Інформацію про атаку оприлюднила компанія Cisco Talos, спеціалізацією якої є кібербезпека. Зазначається, що серед постраждалих здебільшого компанії зі США і України. Найбільше заражених систем – серед абонентів провайдера «Укртелеком».
Шкідливу кампанію було проведено ще в серпні 2017 року, проте інформацію про неї оприлюднили тільки тепер. Фахівці Cisco Talos порівняли її з гучної атакою NotPetya, коли шкідника вживили в бухгалтерське програмне забезпечення «M.E.Doc».
«Зловмисники дедалі частіше намагаються зловживати довірчими стосунками між організаціями і виробниками програмного забезпечення як засіб досягнення своїх цілей», – зазначили експерти Cisco Talos.
Відмінно від NotPetya, шкідника поширили не через вразливий сервер, а через сайт компанії CFM. Жертв інфікували вірусом через електронну пошту. У листах містився ZIP-архів з файлом JavaScript, який виконував роль завантажувача, через який шкідник завантажувався в систему з домену, пов'язаного з сайтом CFM.
Опинившись в комп’ютері, шкідник активував перманентний режим сну або створював запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C&C-серверів.
Під час розслідування інциденту фахівці зафіксували 11 925 626 спроб зв'язатися з сервером від 3 216 унікальних IP-адрес.
ZeuS (або ZBot) – це троянська програма нового типу, що з'явилася 2007 року, і призначена для атаки серверів і перехоплення даних. Крім версій для Windows існує ще п’ять різновидів вірусу для мобільних пристроїв. Вони вживляються у пристрої з операційною системою BlackBerry та Android.
Як раніше повідомляв ZAXID.NET, згідно із даними поліції, розробником троянської програми ZeuS є громадянин Російської Федерації. Зловмисник організував навколо себе понад 20 хакерів з усього світу та за допомогою зазначеного бот-нету викрадав особисті дані користувачів.