Троянец, похищающий информацию о закупках медикаментов
По сообщению компании «Доктор Веб», ее вирусные аналитики установили, что троянец BackDoor.Dande, похищающий информацию о закупках медикаментов, распространялся в инсталляторе ПО для фармацевтов ePrica.
Об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки «Доктор Веб» впервые сообщила в 2011 г. Этот бэкдор похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение приложения носило узкоспециализированный характер.
Как показали результаты исследования, троянец не только загружался на целевые рабочие станции компонентом приложения ePrica, но и был встроен в одну из ранних версий установщика этой программы, которую руководители аптек используют для анализа цен на лекарства и выбора поставщиков. Один из компонентов приложения ePrica загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. Указанный модуль имел цифровую подпись «Спарго».
Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы «1C».
Старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» — группы компаний, в которую входит разработчик ePrica «Спарго Технологии».
Важно, что даже после удаления ПО ePrica бэкдор оставался в системе и продолжал шпионить за пользователями. Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.
Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 г., в то время как некоторые файлы бэкдора в нем датированы еще 2010 г. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.