Источник: ain.ua
Сайт украинского разработчика бухгалтерского ПО Crystal Finance Millennium (CFM) использовался хакерами для распространения банковского трояна ZeuS.
Информацию обнародовала компания Cisco Talos, специализирующаяся на кибербезопасности. В рамках кампании атаке подверглись более 3000 компьютеров.
Среди пострадавших в основном компании из США и Украины. Больше всего зараженных систем среди абонентов провайдера «Укртелеком».
Кампания проводилась еще в августе 2017 года, однако информацию о ней обнародовали только теперь.
Специалисты Cisco Talos сравнили ее с нашумевшей атакой NotPetya, когда бэкдор внедрили в бухгалтерское ПО M.E.Doc.
«Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей» — отмечают эксперты.
В отличие от NotPetya, в данном случае вредонос распространяли не через уязвимый сервер, а через сайт компании CFM. Жертв заражали по электронной почте.
В письмах содержался ZIP-архив с файлом JavaScript, который работал как загрузчик, через который вредонос загружался в систему с домена, связанного с сайтом CFM. В ходе атаки применялась версия ZeuS 2.0.8.9.
Оказавшись в песочнице, вредонос активировал перманентный спящий режим, в противном случае создавалась запись реестра для обеспечения исполнения при каждом запуске системы.
Далее программа пыталась подключиться к различным C&C-серверам.
В рамках расследования инцидента специалисты зафиксировали 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.
Затронутые сетевые провайдеры.