Похищающий информацию о закупках медикаментов «троян» BackDoor.Dande распространялся в инсталляторе программного обеспечения для фармацевтов ePrica, сообщает пресс-служба компании «Доктор Веб».

«Специалисты компании «Доктор Веб» раскрывают новые детали расследования атаки «трояна» BackDoor.Dande на сети аптек и фармацевтических компаний. Вирусные аналитики установили, что backdoor не только загружался на целевые рабочие станции компонентом приложения ePrica, но и был встроен в одну из ранних версий установщика этой программы», - говорится в сообщении.

Уточняется, что об атаке «трояна» BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» впервые сообщила в 2011 г. Этот backdoor похищал у пользователей систем электронного заказа информацию о закупках медикаментов. Такие программы применяются в фармацевтической отрасли, поэтому распространение вредоносного приложения носило узкоспециализированный характер. Недавние результаты исследования показали, что «трояна» скачивал и запускал в целевых системах один из компонентов приложения ePrica, которое используют руководители аптек для анализа цен на лекарства и выбора наиболее подходящих поставщиков. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал backdoor на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».

«Дальнейший анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик backdoor, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C», - говорится в материале.

Так, старт этих плагинов выполняет модуль runmod.exe, который при получении команды сервера расшифровывает и запускает их в памяти. После этого они копируют информацию из баз данных, которая затем передается на удаленный сервер. Указанный компонент приложения подписан сертификатом «Протек» - группы компаний, в которую входит разработчик ePrica «Спарго Технологии». Отмечается, что даже после удаления ПО ePrica backdoor оставался в системе и продолжал шпионить за пользователями. В компании отметили, что существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.

Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 г., в то время как некоторые файлы backdoor в нем датированы еще 2010 г. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения backdoor.