Троянец BackDoor.Dande распространялся в инсталляторе ПО для фармацевтов ePrica

27.07.2017

Компания «Доктор Веб» сообщает о новом распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для хищения информации из приложений, используемых аптеками и фармацевтическими фирмами

Впервые об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» сообщила в 2011 году.

В 2014 году эта вредоносная программа инфицировала компьютеры порядка 400 аптек, расположенных преимущественно в южных регионах России.

Исследования деятельности бэкдора в 2017 года показали, что один из компонентов приложения ePrica (предназначенного для анализа цен на лекарства и выбора наиболее подходящих поставщиков) скачивал и запускал троянца в целевых системах. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.

В составе трояна имеется библиотека exist.dll, предназначенная для борьбы с различными неполадками в работе вредоносной программы.

Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями.

Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.

«Поликом Про» и «Доктор Веб» рекомендуют фармацевтическим компаниям и аптекам проверить корпоративные компьютеры на наличие данной вредоносной программы.

Для пользователей продуктов «Доктор Веб» BackDoor.Dande угрозы не представляет.

Продукты и решения Dr.Web для защиты корпоративных сетей. 


Возврат к списку

Подписаться на новости


Антивирусы


Аутсорсинг

Обеспечим безотказную работу вашей ИТ-инфраструктуры

Консультация и заказ

                

Решение для банков

Фильтрация web-трафика и потока электронной почты, защита от утечек информации и поведенческий анализ в едином решении для банков от 500 ПК.

Комплексное решение реализовано на базе продуктов и технологий компании Forcepoint, ранее известной как Websense, и решает следующие задачи:

  • защита от атак и вредоносного кода по сетевым каналам
  • защита периметра сети компании
  • безопасное использование веб ресурсов, защита от фишинга
  • защита от спама
  • защита от утечек данных, инсайдеров
  • оптимизация рабочего времени сотрудников
  • единая панель управления

Комплексный подход – это:

  • решение разных задач по информационной безопасности продуктами одного производителя,
  • оптимизация затрат на безопасность,
  • учет и контроль приобретаемых лицензий на продукты.

Пример внедрения комплексной системы фильтрации корпоративного трафика