Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web: BackDoor.Dande un trojan che ruba informazioni su rifornimenti di medicine si diffondeva nell'installer del software farmaceutico ePrica

24 luglio 2017

Gli specialisti Doctor Web rivelano nuovi dettagli dell'investigazione dell'attacco del trojan BackDoor.Dande alle reti di farmacie e aziende farmaceutiche. Gli analisti dei virus hanno accertato che il backdoor non soltanto veniva caricato sulle postazioni target tramite un componente dell'applicazione farmaceutica ePrica, ma anche era incorporato in una delle versioni precedenti dell'installer di questo programma.

Per la prima volta Doctor Web ha segnalato un attacco del trojan BackDoor.Dande alle aziende farmaceutiche e farmacie nell'anno 2011. Questo malware rubava informazioni su rifornimenti di medicine agli utenti dei sistemi dell'ordine elettronico. Tali programmi vengono impiegati nel settore farmaceutico, quindi la diffusione dell'applicazione malevola aveva un carattere altamente specializzato. I nostri specialisti già da anni studiano il backdoor e i suoi metodi per infettare computer.

I recenti risultati dello studio hanno mostrato che il trojan veniva scaricato e avviato nei sistemi bersaglio da uno dei componenti dell'applicazione ePrica che viene utilizzata dalle direzioni di farmacie per analizzare i prezzi dei medicamenti e per scegliere i fornitori più adatti. Questo modulo scaricava da un server di "Spargo Technologies" l'installer di BackDoor.Dande che avviava il backdoor sui computer sotto attacco. Il modulo suddetto aveva una firma digitale di "Spargo".

L'ulteriore analisi dell'applicazione ha mostrato che i componenti di BackDoor.Dande erano incorporati direttamente in una delle versioni precedenti dell'installer di ePrica, il che può indicare la presenza di un grave problema nei sistemi di sicurezza dello sviluppatore di questo software. Il programma ePrica ha plugin .nlb ed .emd che sono librerie dinamiche dll criptate da una chiave privata. Tra di loro sono presenti l'installer del backdoor e inoltre moduli per la raccolta di informazioni su rifornimenti di farmaci, che ottengono le informazioni richieste dai database dei software farmaceutici. Uno dei moduli veniva utilizzato per copiare informazioni su rifornimenti di medicamenti dai database di 1S (un software progettato per l'automazione della gestione e contabilità).

Questi plugin vengono avviati dal modulo runmod.exe che li decifra ed esegue in memoria dopo aver ottenuto un comando da server. Quindi loro copiano le informazioni dai database e le trasmettono su un server remoto. Il suddetto componente dell'applicazione è firmato dal certificato di "Protek" — gruppo aziendale di cui fa parte "Spargo Technologies", sviluppatore di ePrica.

#drweb

È importante sottolineare che persino dopo la rimozione del software ePrica il backdoor rimane nel sistema continuando a spiare gli utenti. È possibile che BackDoor.Dande sia ancora presente sui computer degli utenti che hanno rimosso il software ePrica.

L'installer di ePrica versione 4.0.14.6, in cui sono stati trovati i moduli trojan, è stato rilasciato il 18 novembre 2013, mente alcuni file del backdoor incluso nell'installer risalgono al lontano 2010. Pertanto, la copiatura delle informazioni circa i rifornimenti delle farmacie e aziende farmaceutiche poteva iniziare almeno un anno prima della scoperta del backdoor avvenuta nel 2011.

Maggiori informazioni sull'installer di ePrica con il trojan BackDoor.Dande incluso sono ritrovabili nella nostra libreria di virus.

Informazioni sul programma ePrica

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A