Троянец BackDoor.Dande распространялся в инсталляторе ПО для фармацевтов ePrica

27.07.2017

Компания «Доктор Веб» сообщает о новом распространении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для хищения информации из приложений, используемых аптеками и фармацевтическими фирмами

Впервые об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» сообщила в 2011 году.

В 2014 году эта вредоносная программа инфицировала компьютеры порядка 400 аптек, расположенных преимущественно в южных регионах России.

Исследования деятельности бэкдора в 2017 года показали, что один из компонентов приложения ePrica (предназначенного для анализа цен на лекарства и выбора наиболее подходящих поставщиков) скачивал и запускал троянца в целевых системах. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

Анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.

В составе трояна имеется библиотека exist.dll, предназначенная для борьбы с различными неполадками в работе вредоносной программы.

Важно отметить, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями.

Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.

«Поликом Про» и «Доктор Веб» рекомендуют фармацевтическим компаниям и аптекам проверить корпоративные компьютеры на наличие данной вредоносной программы.

Для пользователей продуктов «Доктор Веб» BackDoor.Dande угрозы не представляет.

Продукты и решения Dr.Web для защиты корпоративных сетей. 


Возврат к списку

Подписаться на новости


Закажите семинар по ИТ-аутсорсингу