Банковский троян ZeuS распространялся через сайт украинского разработчика ПО

Банковский троян ZeuS распространялся через сайт украинского разработчика ПО

Большинство инфицированных систем были расположены в США и Украине.

Официальный сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM) был использован неизвестными хакерами для распространения одной из разновидностей банковского трояна ZeuS. Об этом сообщили исследователи безопасности из компании Cisco Talos.

По словам специалистов, данный инцидент схож со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте.

Атака произошла в августе 2017 года, однако исследователи только сейчас обнародовали информацию о масштабах атаки и связанных с ней жертв. Как пояснили эксперты, злоумышленники распространяли вредонос посредством электронных писем, содержащих ZIP-архив с файлом JavaScript, который действовал как загрузчик. Один из доменов, используемый для размещения вредоносной полезной нагрузки, был связан с web-сайтом CFM, который ранее также использовался для распространения вымогательского ПО PSCrypt. В ходе атаки применялась версия ZeuS 2.0.8.9.

Оказавшись на системе вредоносная программа проверяет, находится ли она в песочнице, если да - активирует перманентный спящий режим. В противном случае вредонос создает запись реестра для обеспечения исполнения при каждом запуске системы. Далее вредоносное ПО пытается подключиться к различным C&C-серверам, один из которых не был зарегистрирован, когда эксперты начали расследование инцидента. Зарегистрировав данный домен, исследователи смогли более детально изучить механизмы взаимодействия вредоноса с серверами.

Как выяснили исследователи, большинство инфицированных систем были расположены в США и Украине. Больше всего зараженных систем зафиксировано у провайдера «Укртелеком». В общей сложности специалисты обнаружили 11 925 626 попыток связаться с сервером от 3 216 уникальных IP-адресов.

«Злоумышленники все чаще пытаются злоупотреблять доверительными отношениями между организациями и производителями программного обеспечения в качестве средства достижения своих целей. Поскольку организации внедряют более эффективные средства контроля для защиты своих сетевых сред, злоумышленники соответственно продолжают совершенствовать свои методы», - заключили эксперты.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться