Через сайт українського розробника бухгалтерського ПЗ поширювали троян ZeuS

13:49, 10 січня 2018

Сайт українського розробника бухгалтерського програмного забезпечення Crystal Finance Millennium (CFM) використали хакери для поширення банківського трояна ZeuS. Під час кампанії атаці піддалися понад 3 тис. комп'ютерів, пише AIN.ua.

Інформацію про атаку оприлюднила компанія Cisco Talos, спеціалізацією якої є кібербезпека. Зазначається, що серед постраждалих здебільшого компанії зі США і України. Найбільше заражених систем – серед абонентів провайдера «Укртелеком».

Шкідливу кампанію було проведено ще в серпні 2017 року, проте інформацію про неї оприлюднили тільки тепер. Фахівці Cisco Talos порівняли її з гучної атакою NotPetya, коли шкідника вживили в бухгалтерське програмне забезпечення «M.E.Doc».

«Зловмисники дедалі частіше намагаються зловживати довірчими стосунками між організаціями і виробниками програмного забезпечення як засіб досягнення своїх цілей», – зазначили експерти Cisco Talos.

Відмінно від NotPetya, шкідника поширили не через вразливий сервер, а через сайт компанії CFM. Жертв інфікували вірусом через електронну пошту. У листах містився ZIP-архів з файлом JavaScript, який виконував роль завантажувача, через який шкідник завантажувався в систему з домену, пов'язаного з сайтом CFM.

Опинившись в комп’ютері, шкідник активував перманентний режим сну або створював запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C&C-серверів.

Під час розслідування інциденту фахівці зафіксували 11 925 626 спроб зв'язатися з сервером від 3 216 унікальних IP-адрес.

ZeuS (або ZBot) – це троянська програма нового типу, що з'явилася 2007 року, і призначена для атаки серверів і перехоплення даних. Крім версій для Windows існує ще п’ять різновидів вірусу для мобільних пристроїв. Вони вживляються у пристрої з операційною системою BlackBerry та Android.

Як раніше повідомляв ZAXID.NET, згідно із даними поліції, розробником троянської програми ZeuS є громадянин Російської Федерації. Зловмисник організував навколо себе понад 20 хакерів з усього світу та за допомогою зазначеного бот-нету викрадав особисті дані користувачів.