Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum
Profile

Back to news

Doctor Web: BackDoor.Dande, wykradający informacje o zamówieniach medykamentów, rozpowszechnia się z użyciem instalatora oprogramowania farmaceutycznego ePrica

24 lipca 2017

Specjaliści Doctor Web ujawniają nowe szczegóły na temat swojego śledztwa w sprawie ataku BackDoor.Dande wymierzonego w apteki i firmy farmaceutyczne. Analitycy bezpieczeństwa firmy określili, że backdoor nie tylko ładował się na atakowane stacje jako komponent aplikacji ePrica, ale również był wbudowany jedną z wcześniejszych wersji instalatora tego programu.

Doctor Web raportował po raz pierwszy na temat ataku BackDoor.Dande na apteki i firmy farmaceutyczne już w 2011 roku. Ten backdoor wykradał użytkownikom systemów online do zamawiania leków informacje o ich zamówieniach medykamentów. Takie programy są używane w przemyśle farmaceutycznym, więc rozpowszechnianie się złośliwej aplikacji w takim środowisku miało wysoce wyspecjalizowany charakter. W ciągu ostatnich kilku lat nasi specjaliści przebadali tego backdoora i jego metody infekowania komputerów.

Ostatnie wyniki badań pokazują, że komponent ePrica pobierał i uruchamiał trojana na zaatakowanych systemach. Kierownicy aptek używali tego komponentu oprogramowania do analizy cen leków i wyboru najlepszych dostawców. Ten moduł pobierał instalatora BackDoor.Dande z serwera należącego do “Spargo Tekhnologii”, a następnie tenże instalator uruchamiał backdoora na zaatakowanych komputerach. Dodatkowo, wskazany moduł posiadał podpis cyfrowy “Spargo”.

Dalsza analiza aplikacji pokazała, że komponenty BackDoor.Dande były wbudowane bezpośrednio w jedną z wcześniejszych wersji instalatora aplikacji ePrica, co mogło wskazywać, że system bezpieczeństwa dewelopera tego programu został w poważnym stopniu naruszony. Aplikacja ePrica posiada wtyczki NLB i EMD, będące dynamicznymi bibliotekami DLL zaszyfrowanymi z użyciem klucza prywatnego. Razem z nimi znalazł się instalator backdoora i moduły używane do zbierania informacji o zamówieniach medykamentów. Te moduły pozyskują potrzebne dane z baz danych programów aptecznych. Jeden z tych modułów był używany do kopiowania informacji o zamówieniach produktów farmaceutycznych z baz danych 1C.

Moduł runmod.exe przeprowadza uruchomienie tychże wtyczek. Ma to miejsce w chwili, gdy serwer wydaje mu polecenie odszyfrowania i załadowania ich do pamięci. Następnie kopiują one informacje z bazy danych, które w następnym kroku są wysyłane na zdalny serwer. Wskazany komponent aplikacji jest podpisany certyfikatem “Protek” — grupy firm do której należy “Spargo Tekhnologii”, deweloper aplikacji ePrica.

#drweb

Godne zauważenia jest to, że nawet po usunięciu programu ePrica, backdoor pozostaje w systemie i kontynuuje szpiegowanie użytkowników. Jest bardzo możliwe, że BackDoor.Dande jest wciąż obecny na komputerach użytkowników którzy usunęli program ePrica.

Instalator w wersji 4.0.14.6, w którym wykryto moduły trojana, został wydany 18 listopada 2013, podczas gdy niektóre pliki backdoora są datowane na rok 2010. Tym samym proceder kopiowania informacji na temat zamówień aptek i firm farmaceutycznych mógł rozpocząć się co najmniej rok wcześniej przed pierwszym wykryciem backdoora.

Więcej szczegółowych informacji o instalatorze programu ePrica zawierającym wirusa BackDoor.Dande można znaleźć w naszej bibliotece wirusów.

Więcej na temat programu ePrica

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A