+7 (812) 325 84 00
+7 (499) 322 07 96
27.07.2017
Впервые об атаке троянца BackDoor.Dande на фармацевтические компании и аптеки компания «Доктор Веб» сообщила в 2011 году.
Исследования деятельности бэкдора в 2017 года показали, что один из компонентов приложения ePrica (предназначенного для анализа цен на лекарства и выбора наиболее подходящих поставщиков) скачивал и запускал троянца в целевых системах. Этот модуль загружал с сервера «Спарго Технологии» установщик BackDoor.Dande, который и запускал бэкдор на атакуемых компьютерах. При этом указанный модуль имел цифровую подпись «Спарго».
Анализ приложения показал, что компоненты BackDoor.Dande были встроены непосредственно в одну из ранних версий инсталлятора ePrica, что может свидетельствовать о серьезном подрыве систем безопасности разработчика данного ПО. Программа ePrica имеет плагины .nlb и .emd, которые представляют собой зашифрованные приватным ключом динамические dll-библиотеки. Среди них присутствует установщик бэкдора, а также модули для сбора информации о закупках медикаментов, которые получают необходимые сведения из баз данных аптечных программ. При этом один из них использовался для копирования информации о закупках фармацевтических препаратов из баз данных программы 1C.
В составе трояна имеется библиотека exist.dll, предназначенная для борьбы с различными неполадками в работе вредоносной программы.
Существует вероятность того, что на компьютерах пользователей, удаливших ПО ePrica, до сих пор присутствует BackDoor.Dande.
Установщик ePrica версии 4.0.14.6, в котором были найдены троянские модули, был выпущен 18 ноября 2013 года, в то время как некоторые файлы бэкдора в нем датированы еще далеким 2010 годом. Таким образом, копирование информации о закупках аптек и фармацевтических компаний могло начаться как минимум за год до первого обнаружения бэкдора.
Для пользователей продуктов «Доктор Веб» BackDoor.Dande угрозы не представляет.
Продукты и решения Dr.Web для защиты корпоративных сетей.