Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.
Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.
Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.
Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.
Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.
Источник: 3DNews
