Prowadzisz firmę w Rosji? Uważaj na trojana, który atakuje aplikację księgową 1C

24 czerwca, 2016

Specjaliści Doctor Web przebadali trojana 1C.Drop.1 rozpowszechnianego poprzez e-maile wśród kontrahentów zarejestrowanych w bazie aplikacji księgowej 1C (oprogramowaniu używanym przez ponad milion firm). Infekuje on komputery z zainstalowaną aplikacją księgową 1C i uruchamia niebezpieczny program ransomware. Jest to jeden z tych rzadkich przypadków, w których agresorzy tworzą złośliwą aplikację używając nowych technik lub rzadkich języków programowania.

1C.Drop.1 jest pierwszym trojanem, przeanalizowanym przez specjalistów Doctor Web, napisanym w języku rosyjskim — a dokładniej z wbudowanym w aplikację 1C językiem, który używa do zapisu komend znaków Cyrylicy. 

1Ctrojan
Złośliwe pliki dla produktów 1C, potrafiące modyfikować lub infekować inne zewnętrzne mechanizmy przetwarzania danych, są znane analitykom bezpieczeństwa Doctor Web już od 2005 roku, jednakże tym razem wykryli oni w pełni funkcjonalnego trojana typu dropper zawierającego program ransomware.

Trojan jest dystrybuowany jako załącznik do wiadomości e-mail zatytułowanej “Our BIC code has been changed”:

Greetings!
Our BIC code has been changed.
Please update your bank classifier.
The classifier can be updated automatically in 1C Enterprise 8.
File – Open classifier update processor from the attachment.
Click YES to update the classifier automatically.
Within 1-2 minutes if there is Internet connection.

Ta wiadomość e-mail zawiera zewnętrzny moduł przetwarzania danych dla “1C: Enterprise” nazwany ПроверкаАктуальностиКлассификатораБанков.epf. Kod tego modułu jest chroniony hasłem — w ten sposób standardowe metody przeglądania plików nie mogą być użyte do wyświetlenia jego kodu źródłowego. Jeśli użytkownik uruchomi ten plik w trybie 1C:Enterprise, wyświetli się następujące okno:

1Ctrojan2
Naciśnięcie dowolnego przycisku w tym oknie uruchomi trojana 1C.Drop.1. Dodatkowo w programie 1C:Enterprise użytkownik zobaczy poniższy obrazek.
1Ctrojan3
Tymczasem trojan rozpoczyna swoją złośliwą aktywność na komputerze…

W pierwszym kroku przeszukuje bazę danych aplikacji 1C pod kątem kontrahentów z podanymi adresami e-mail, a następnie wysyła wymienione powyżej wiadomości tekstowe z załączoną do nich swoją kopią. Trojan używa jako adresu nadawcy adresu e-mail określonego w koncie ofiary w aplikacji 1C. Jeśli użytkownik nie określił swojego e-maila, trojan zastępuje go adresem [email protected] i załącza plik zewnętrznego modułu przetwarzania danych pod nazwą ОбновитьБИКБанка.epf zawierający w sobie kopię trojana. Jeśli ten plik zostanie uruchomiony w oprogramowaniu 1C, to komputer będzie zaatakowany również i przez trojana ransomware, ale ta kopia 1C.Drop.1 wyśle kontrahentom uszkodzony plik EPF, którego nie da się otworzyć w programie “1C:Enterprise”. 1C.Drop.1 wspiera następujące bazy danych aplikacji 1C:

  • Trade Management 11.1
  • Trade Management (basic) 11.1
  • Trade Management 11.2
  • Trade Management (basic) 11.2
  • Accounting 3.0
  • Accounting (basic) 3.0
  • 1C:Comprehensive Automation 2.0

Następnie 1C.Drop.1 wypakowuje, zapisuje i uruchamia trojana ransomware Trojan.Encoder.567, który szyfruje pliki na dyskach i żąda pewnych sum pieniędzy za ich odszyfrowanie. Niestety Doctor Web nie opracował jeszcze metody na odszyfrowanie plików zaatakowanych przez to malware, natomiast przestrzega przed otwieraniem jakichkolwiek załączników w aplikacji 1C:Enterprise, nawet jeśli zostały one otrzymane ze znanego adresu e-mail.

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]