24 luglio 2017

Gli specialisti Doctor Web rivelano nuovi dettagli dell'investigazione dell'attacco del trojan BackDoor.Dande alle reti di farmacie e aziende farmaceutiche. Gli analisti dei virus hanno accertato che il backdoor non soltanto veniva caricato sulle postazioni target tramite un componente dell'applicazione farmaceutica ePrica, ma anche era incorporato in una delle versioni precedenti dell'installer di questo programma.

Per la prima volta Doctor Web ha segnalato un attacco del trojan BackDoor.Dande alle aziende farmaceutiche e farmacie nell'anno 2011. Questo malware rubava informazioni su rifornimenti di medicine agli utenti dei sistemi dell'ordine elettronico. Tali programmi vengono impiegati nel settore farmaceutico, quindi la diffusione dell'applicazione malevola aveva un carattere altamente specializzato. I nostri specialisti già da anni studiano il backdoor e i suoi metodi per infettare computer.

I recenti risultati dello studio hanno mostrato che il trojan veniva scaricato e avviato nei sistemi bersaglio da uno dei componenti dell'applicazione ePrica che viene utilizzata dalle direzioni di farmacie per analizzare i prezzi dei medicamenti e per scegliere i fornitori più adatti. Questo modulo scaricava da un server di "Spargo Technologies" l'installer di BackDoor.Dande che avviava il backdoor sui computer sotto attacco. Il modulo suddetto aveva una firma digitale di "Spargo".

L'ulteriore analisi dell'applicazione ha mostrato che i componenti di BackDoor.Dande erano incorporati direttamente in una delle versioni precedenti dell'installer di ePrica, il che può indicare la presenza di un grave problema nei sistemi di sicurezza dello sviluppatore di questo software. Il programma ePrica ha plugin .nlb ed .emd che sono librerie dinamiche dll criptate da una chiave privata. Tra di loro sono presenti l'installer del backdoor e inoltre moduli per la raccolta di informazioni su rifornimenti di farmaci, che ottengono le informazioni richieste dai database dei software farmaceutici. Uno dei moduli veniva utilizzato per copiare informazioni su rifornimenti di medicamenti dai database di 1S (un software progettato per l'automazione della gestione e contabilità).

Questi plugin vengono avviati dal modulo runmod.exe che li decifra ed esegue in memoria dopo aver ottenuto un comando da server. Quindi loro copiano le informazioni dai database e le trasmettono su un server remoto. Il suddetto componente dell'applicazione è firmato dal certificato di "Protek" — gruppo aziendale di cui fa parte "Spargo Technologies", sviluppatore di ePrica.

È importante sottolineare che persino dopo la rimozione del software ePrica il backdoor rimane nel sistema continuando a spiare gli utenti. È possibile che BackDoor.Dande sia ancora presente sui computer degli utenti che hanno rimosso il software ePrica.

L'installer di ePrica versione 4.0.14.6, in cui sono stati trovati i moduli trojan, è stato rilasciato il 18 novembre 2013, mente alcuni file del backdoor incluso nell'installer risalgono al lontano 2010. Pertanto, la copiatura delle informazioni circa i rifornimenti delle farmacie e aziende farmaceutiche poteva iniziare almeno un anno prima della scoperta del backdoor avvenuta nel 2011.

Maggiori informazioni sull'installer di ePrica con il trojan BackDoor.Dande incluso sono ritrovabili nella nostra libreria di virus.

Informazioni sul programma ePrica