Хакери поширювали троян через український сайт бухгалтерських програм
Жертв заражали по електронній пошті
Хакери використовували сайт українського розробника бухгалтерського програмного забезпечення Crystal Finance Millennium (CFM) для поширення банківського трояна ZeuS.
Інформацію оприлюднила компанія Cisco Talos, що спеціалізується на кібербезпеці, повідомляє AIN.
Фахівці порівняли атаку ZeuS з вірусом NotPetya, яка поширювався через бухгалтерські програми українського розробника MEDoc.
На відміну від NotPetya, в даному випадку шкідливий вірус поширюється не через вразливий сервер, а через сайт компанії CFM. Жертв заражали по електронній пошті. У листах містився ZIP-архів з файлом JavaScript, який працював як завантажувач, через який шкідливий вірус надходив в систему з домену, пов'язаного з сайтом CFM.
Опинившись на комп'ютері, вірус активовував перманентний сплячий режим, в іншому випадку створювався запис реєстру для забезпечення виконання при кожному запуску системи. Далі програма намагалася підключитися до різних C & C-серверів. В рамках розслідування інциденту фахівці зафіксували 11 925 626 спроб зв'язатися з сервером від 3216 унікальних IP-адрес.
Атака трояна відбулася в період святкування Дня Незалежності України в кінці серпня 2017 року. Їй було піддано понад 3 тис. комп'ютерів, переважно, компаній з США і України. Найбільше поширення трояну відбулося серед абонентів «Укртелекому».
До слова, хакери намагалися викрасти конфіденційні дані від груп, які будуть брати участь у зимових Олімпійських іграх, що відбудуться у лютому цього року.