Сайт украинского разработчика бухгалтерского програмного обеспечения Crystal Finance Millennium (CFM) использовался хакерами для распространения банковского трояна ZeuS.
Об этом сообщает Ain.ua со ссылкой на данные компании Cisco Talos.
Отмечается, что в рамках кампании атаке подверглись более 3000 компьютеров. Среди пострадавших в основном компании из США и Украины. Больше всего зараженных систем среди абонентов провайдера “Укртелеком”.
Кампания проводилась еще в августе 2017 года, однако информацию о ней обнародовали только теперь. Специалисты Cisco Talos сравнили ее с нашумевшей атакой NotPetya, когда бэкдор внедрили в бухгалтерское ПО M.E.Doc.
“Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей”, — отмечают эксперты.
В отличие от NotPetya, в данном случае вирус распространяли не через уязвимый сервер, а через сайт компании CFM. Жертв заражали по электронной почте. В письмах содержался ZIP-архив с файлом jаvascript, который работал как загрузчик, через который вирус загружался в систему с домена, связанного с сайтом CFM.
Оказавшись на компьютере, вирус активировал перманентный спящий режим, в противном случае создавалась запись реестра для обеспечения исполнения при каждом запуске системы. Далее программа пыталась подключиться к различным C&C-серверам.
В рамках расследования инцидента специалисты зафиксировали 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.
