Представители «СКБ Контур» сообщили, что злоумышленники рассылают вредоносное ПО от лица взломанных пользователей «Контур.Диадока». Клиентов предупреждают, что не нужно открывать полученные файлы.

«С зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Злоумышленник отправил их контрагентам пользователя-жертвы в виде неформализованного документа. Контрагенты начали открывать архив и запускать вредоносное ПО. После открытия вирус начал распространяться дальше, отправляя архивы уже контрагентам получателя», — пишут в компании.

Отдельно отмечается, что на момент начала атаки малварь не обнаруживалась антивирусами, а в настоящее время ее детектируют только некоторые защитные решения.

Чтобы избежать дальнейшего распространения атаки, разработчики «Контур.Диадока» заблокировали отправку зараженных документов и удалили уже отправленные. Так как между моментом отправки архива и его удалением из системы был временной зазор, некоторые пользователи могли получить зараженные вложения и запустить их. Специалисты компании связались с этими пользователями и предоставили им рекомендации по дальнейшим действиям.

«Сам Диадок не взломан, — подчеркивается в заявлении. — Он продолжает работать, все данные клиентов находятся в безопасности. Для вредоносной рассылки использовали стандартную функциональность продукта по отправке документов: будьте внимательны при получении неформализованных документов, следуйте нашим рекомендациям».

В «СКБ Контур» напоминают, что при получении архива следует действовать так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускать содержащиеся в нем исполняемые файлы.

Всем, кто успел загрузить и открыть вложение рекомендуется сообщить об этом в подразделение информационной безопасности или ИТ-службу. Также в компании советуют обновить антивирус и провести полную проверку компьютера, попросив специалистов проверить подозрительные исходящие соединения.

«Удалять из “Диадока” отправленные вирусы нет необходимости. Мы уже это сделали. Но просим вас проверить исходящие письма в электронной почте, так как вредоносное ПО распространяется через любую почтовую программу, и злоумышленник мог разослать его как через “Диадок”, так и через электронную почту. Это поможет защитить вас и ваших контрагентов от возможного заражения», — резюмируют представители компании.

Как сообщается в отдельном бюллетене безопасности, от лица взломанных пользователей был разослан Buhtrap. Целью злоумышленников была кража денег через системы дистанционного банковского обслуживания (ДБО). Атака была нацелена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки.

Присутствие трояна можно обнаружить по следующим признакам:

появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:\Users\***\AppData\Local\Pepebekap\Kebopeb.exe или C:\Users\***\AppData\Local\Kakobebabe\Lebobobela.exe;

появление такого файла в списке автозагрузки;

незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer.

Сообщается, что специалисты компании уже провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». В итоге в сервисе «Контур.Диадок» предприняты следующие меры: