Wir warnen Benutzer, die das Ammyy Admin-Fernzugriffsprogramm vom 13. bis 14. Juni von der offiziellen Website heruntergeladen haben. Die Site wurde kompromittiert, in diesem Zeitintervall wurde eine trojanisierte Version des Programms von ihr verteilt. Eine weitere Einschränkung: Angreifer nutzten die Marke der Weltmeisterschaft, um böswillige Netzwerkaktivitäten zu maskieren.
Im Oktober 2015 wurde bereits eine Website mit einer kostenlosen Version von Ammyy Admin zur Verbreitung von Malware verwendet. Wir
verbinden den vorherigen Angriff
mit der berühmten Cybergroup Buhtrap . Jetzt wiederholt sich die Geschichte. Wir haben das Problem kurz nach Mitternacht am 13. Juni behoben, die Verteilung der Malvari dauerte bis zum Morgen des 14. Juni.
Remote Administration und Kasidet Bot inklusive
Benutzer, die Ammyy Admin am 13. und 14. Juni heruntergeladen haben, erhielten ein Paket legitimer Software und einen Mehrzweck-Trojaner, der von ESET-Produkten als Win32 / Kasidet erkannt wird. Wir empfehlen potenziellen Opfern, Geräte mit einem Antivirenprodukt zu scannen.
Win32 / Kasidet ist ein Bot, der im Darknet verkauft wird und von verschiedenen Cybergruppen aktiv genutzt wird. Die am 13. und 14. Juni 2018 auf ammyy.com entdeckte Versammlung hatte zwei Funktionen:
1. Diebstahl von Dateien, die Kennwörter und andere Autorisierungsdaten für Kryptowährungs-Wallets und Opferkonten enthalten können. Zu diesem Zweck sucht die Malware nach den folgenden Dateinamen und sendet sie an den C & C-Server:
- Bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. Suchen Sie nach Prozessen mit Vornamen:
- Waffenkammer
- Bitcoin
- Exodus
- Elektrum
- Jaxx
- Keepass
- Kitty
- mstsc
- Multibit
- Kitt
- Radmin
- vsphere
- Winscp
- xshell
Interessant ist auch die URL des C & C-Servers (hxxp: // fifa2018start [.] Info / panel / task.php). Es scheint, dass die Angreifer beschlossen haben, die Marke der Weltmeisterschaft zu verwenden, um böswillige Netzwerkaktivitäten zu maskieren.
Wir haben Ähnlichkeiten mit dem Angriff von 2015 festgestellt. Dann nutzten die Angreifer ammyy.com, um mehrere Malware-Familien zu verbreiten und sie fast täglich zu ändern. Im Jahr 2018 wurde nur Win32 / Kasidet vertrieben, aber die Verschleierung der Nutzlast wurde in drei Fällen geändert, wahrscheinlich um die Erkennung durch Antivirenprodukte zu vermeiden.
Eine weitere Ähnlichkeit zwischen den Vorfällen ist der identische Name der Datei mit der Nutzlast -
Ammyy_Service.exe . Ein geladenes AA_v3.exe-Installationsprogramm mag auf den ersten Blick legitim erscheinen, aber die Angreifer haben SmartInstaller verwendet und eine neue Binärdatei erstellt, die
Ammyy_Service.exe zurücksetzt, bevor Ammyy Admin installiert wird.
Schlussfolgerungen
Da dies nicht das erste Mal ist, dass ammyy.com kompromittiert wurde, empfehlen wir Ihnen, eine zuverlässige Antivirenlösung zu installieren, bevor Sie Ammyy Admin herunterladen. Wir haben die Entwickler von Ammyy Admin über das Problem informiert.
Ammyy Admin ist ein legitimes Tool, das Angreifer jedoch häufig verwendet haben. Infolgedessen erkennen einige Antivirenprodukte, einschließlich ESET, diese als potenziell unerwünschte Anwendung. Diese Software ist jedoch insbesondere in Russland nach wie vor weit verbreitet.
Kompromissindikatoren
ESET-ErkennungWin32/KasidetSHA-1-HashesInstallationsprogramm
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903EC & C Serverfifa2018start[.]info