据外媒1月6日报道，黑客滥用乌克兰会计软件开发商Crystal Finance Millennium （CFM）的官方网站散布恶意软件，分发Zeus 银行木马新变种。Cisco Talos称该恶意软件通过附加在垃圾邮件上的下载程序获取，且具有一定规模的传播范围。

此次攻击发生于2017年8月乌克兰独立日假期前后，乌克兰当局和企业接到了当地安全公司ISSP的网络攻击警报 ，用来托管恶意软件的一个域名与乌克兰会计软件开发商CFM的网站有关。不仅如此，攻击者还利用CFM网站传播了PSCrypt勒索软件，这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害CFM的更新服务器，也没有在早前的Nyetya协议中看到相同级别的访问。

在这次攻击中，恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的JavaScript压缩文件。一旦该文件打开，Javascript就会被执行，并导致系统检索恶意软件的playload，运行后Zeus银行木马病毒将会感染系统。

思科 Talos 统计：受Zeus银行木马新变种影响的地区

自从2011年Zeus木马版本2.0.8.9的源代码被泄露以来，其他威胁行为者从恶意代码中获得灵感，将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和ZeuS源代码的泄漏版本之间就存在着代码重用：

一旦在系统上执行，恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下，那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项，以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染，恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。

研究人员表示，大多数被恶意软件感染的系统都位于乌克兰和美国，乌克兰交通运输部管辖的PJSC Ukrtelecom公司的ISP受影响最为严重。影响数量达到3115个独立IP地址、 11,925,626个信标显示了这个恶意软件的传播规模。

研究人员称越来越多的攻击者试图滥用受信任的软件制造商，并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境，攻击者正在不断改进其攻击方法。