Специалисты ESET предупредили, что сайт Ammyy Admin, популярного в некоторых странах решения для удаленного администрирования, вновь подвергся взлому. 13 и 14 июня 2018 года под видом легитимной программы через сайт распространялась малварь Kasidet. Разработчиков Ammyy Admin уже уведомили о проблеме.
Исследователи напомнили, что в 2015 году сайт, предлагающий бесплатную версию Ammyy Admin уже, уже подвергался компрометации и использовался для распространения вредоносного ПО. Прошлую атаку специалисты связали с деятельностью известной хакерской группы Buhtrap.
На этот раз пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который обнаруживается продуктами ESET как Win32/Kasidet. Kasidet – известный бот, который продается в даркнете и активно используется разными хак-группами. Сборка, обнаруженная на сайте ammyy.com, имела две основных функции. Первый была кража файлов, которые могут содержать пароли и другие учетные данные для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на управляющий сервер:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
Второй функцией был поиск процессов по заданным именам:
- armoryqt ;
- bitcoin;
- exodus;
- electrum;
- jaxx;
- keepass;
- kitty;
- mstsc;
- multibit;
- putty;
- radmin;
- vsphere;
- winscp;
- xshell.
Также исследователей заинтересовал URL-адрес управляющего сервера преступников: hxxp: // fifa2018start [.] Info / panel / tasks.php. Специалисты пишут, что атакующие, по всей видимости, решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.
Специалисты ESET пишут, что им удалось обнаружить сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году через взломанный сайт распространялся только Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.
Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку (Ammyy_Service.exe). Загруженный установщик AA_v3.exe мог выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывал Ammyy_Service.exe до установки Ammyy Admin.
Эксперты отмечают, что Ammyy Admin – это легитимный инструмент, однако им нередко пользуются злоумышленники. В результате некоторые антивирусные продукты, включая решения ESET, детектируют его как потенциально нежелательное приложение. Впрочем, это не мешает софту по-прежнему широко использоваться в ряде стран, в частности, в России.
