Aanvallers hebben de website van de boekhoudsoftware Crystal Finance Millennium gehackt en gebruikt voor het verspreiden van malware. Crystal Finance Millennium is een Oekraïens boekhoudprogramma, net zoals M.E.Doc dat eind juni voor het verspreiden van de Petya-ransomware werd gebruikt.

In het geval van Crystal Finance Millennium vindt de aanval niet via de boekhoudsoftware zelf plaats, maar via e-mail, aldus it-bedrijf Octava Capital. De aanvallers versturen berichten met kwaadaardige arj-, zip- en 7-zip-bestanden. Deze bestanden bevatten onder andere een JavaScript-bestand dat de uiteindelijke malware downloadt. Eén van de locaties die de malware aanbiedt is de website van Crystal Finance Millennium, zo meldt securitybedrijf ISSP (pdf).

Volgens het bedrijf hebben de aanvallers waarschijnlijk een lek in de website gebruikt om toegang te krijgen en het bestand te plaatsen. De malware bevond zich in het AWStats-gedeelte van de website. Dit is software waarmee statistieken over bezoekers worden verzameld. De website is op het moment van schrijven uit de lucht gehaald.

Update

Costin Raiu van Kaspersky Lab laat weten dat de website sinds 18 augustus malware heeft verspreid. Het zou om een variant van de Purgen-ransomware gaan.

Update 2

Onderzoeker Bart Blaze laat weten dat de website mogelijk op of voor 15 augustus is gehackt en voor het verspreiden van meerdere malware-exemplaren is gebruikt. Daarnaast zou één van de slachtoffers op 15 augustus ruim 300 euro hebben betaald om zijn bestanden te ontsleutelen. De onderzoeker adviseert bedrijven die met de boekhoudsoftware werken om voorlopig geen updates te installeren tot er een officiële reactie van het bedrijf is geweest