Украинских разработчиков вновь использовали для распространения зловредов

Исследователи компании Cisco Talos сообщили о том, что сайт легитимной украинской компании был использован для распространения вредоносного ПО. Речь идет о компании Crystal Finance Millennium, которая позиционирует себя как разработчика программных решений для медицинских учреждений, а также ПО для бухгалтерского учета. Инцидент произошел еще в августе минувшего года, но подробности его стали известны лишь сейчас.

По данным специалистов Cisco Talos, официальный сайт компании Crystal Finance Millennium был взломан неизвестными хакерами. Ситуация во многом напоминает кибератаку с использованием печально известного зловреда NotPetya, также распространявшегося через легитимного украинского разработчика ПО – компанию MeDoc. Разница, однако, в том, что NotPetya распространялся с новой версией программ от MeDoc через взломанный сервер обновлений. В случае с Crystal Finance Millennium вредоносное ПО – новая версия банковского троянца Zeus – рассылалось в сообщениях с официального сайта компании. Экспертам Cisco Talos удалось зарегистрировать собственный сервер и внедрить его в сеть командных серверов организаторов атаки. Сообщается, что сервер зафиксировал почти 12 миллионов запросов с 3165 уникальных IP-адресов, что свидетельствует о серьезных масштабах кампании. В наибольшей степени от нее пострадали пользователи на территории Украины и США.