Сайт Ammyy Admin был скомпрометирован и распространял малварь

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.362
37
20
#1
Сайт Ammyy Admin был скомпрометирован и распространял малварь



Специалисты ESET предупредили, что сайт Ammyy Admin, популярного в некоторых странах решения для удаленного администрирования, вновь подвергся взлому. 13 и 14 июня 2018 года под видом легитимной программы через сайт распространялась малварь Kasidet. Разработчиков Ammyy Admin уже уведомили о проблеме.

Исследователи напомнили, что в 2015 году сайт, предлагающий бесплатную версию Ammyy Adminуже, уже подвергался компрометации и использовался для распространения вредоносного ПО. Прошлую атаку специалисты связали с деятельностью известной хакерской группы Buhtrap.

На этот раз пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который обнаруживается продуктами ESET как Win32/Kasidet. Kasidet – известный бот, который продается в даркнете и активно используется разными хак-группами. Сборка, обнаруженная на сайте ammyy.com, имела две основных функции. Первый была кража файлов, которые могут содержать пароли и другие учетные данные для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на управляющий сервер:
  • bitcoin;
  • txt;
  • txt;
  • dat.

Второй функцией был поиск процессов по заданным именам:
  • armoryqt ;
  • bitcoin;
  • exodus;
  • electrum;
  • jaxx;
  • keepass;
  • kitty;
  • mstsc;
  • multibit;
  • putty;
  • radmin;
  • vsphere;
  • winscp;
  • xshell.

Также исследователей заинтересовал URL-адрес управляющего сервера преступников: hxxp: // fifa2018start [.] Info / panel / tasks.php. Специалисты пишут, что атакующие, по всей видимости, решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

Специалисты ESET пишут, что им удалось обнаружить сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году через взломанный сайт распространялся только Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку (Ammyy_Service.exe). Загруженный установщик AA_v3.exe мог выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывал Ammyy_Service.exe до установки Ammyy Admin.

Эксперты отмечают, что Ammyy Admin – это легитимный инструмент, однако им нередко пользуются злоумышленники. В результате некоторые антивирусные продукты, включая решения ESET, детектируют его как потенциально нежелательное приложение. Впрочем, это не мешает софту по-прежнему широко использоваться в ряде стран, в частности, в России.
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
326.133
Сообщения
344.651
Пользователи
23.046
Новый пользователь
Xroft

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
    Captain @ Captain: Батя в здание