El sitio de administración de Ammyy nuevamente comprometido

Advertimos a los usuarios que descargaron el programa de acceso remoto Ammyy Admin del sitio web oficial del 13 al 14 de junio. El sitio se vio comprometido; en este intervalo de tiempo, se distribuyó una versión troyanizada del programa. Otra advertencia: los atacantes usaron la marca de la Copa del Mundo para enmascarar la actividad maliciosa de la red.

En octubre de 2015, un sitio que ofrecía una versión gratuita de Ammyy Admin ya se usaba para distribuir malware. Conectamos el ataque anterior con el famoso cybergroup Buhtrap . Ahora la historia se repite. Solucionamos el problema poco después de la medianoche del 13 de junio, la distribución del malvari continuó hasta la mañana del 14 de junio.

Administración remota y bot Kasidet incluidos

Los usuarios que descargaron Ammyy Admin del 13 al 14 de junio recibieron un paquete de software legítimo y un troyano multipropósito que los productos de ESET detectan como Win32 / Kasidet. Recomendamos que las víctimas potenciales escaneen dispositivos usando un producto antivirus.

Win32 / Kasidet es un bot que se vende en la red oscura y es utilizado activamente por varios grupos cibernéticos. La asamblea descubierta en ammyy.com el 13 y 14 de junio de 2018 tenía dos funciones:

1. Robo de archivos que pueden contener contraseñas y otros datos de autorización para billeteras de criptomonedas y cuentas de víctimas. Con este fin, el malware busca los siguientes nombres de archivo y los envía al servidor de C&C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat

2. Busque procesos por nombres de pila:
- armoryqt
- bitcoin
- éxodo
- electrum
- jaxx
- keepass
gatito
- mstsc
- multibit
masilla
- radmin
- vsphere
- winscp
- xshell

La URL del servidor C&C (hxxp: // fifa2018start [.] Info / panel / tareas.php) también es de interés. Parece que los atacantes decidieron usar la marca de la Copa del Mundo para enmascarar la actividad maliciosa de la red.

Encontramos similitudes con el ataque de 2015. Luego, los atacantes usaron ammyy.com para distribuir varias familias de malware, cambiándolos casi todos los días. En 2018, solo se distribuyó Win32 / Kasidet, pero la ofuscación de la carga útil cambió en tres casos, probablemente para evitar la detección por parte de productos antivirus.

Otra similitud entre los incidentes es el nombre idéntico del archivo que contiene la carga útil: Ammyy_Service.exe . Un instalador AA_v3.exe cargado puede parecer legítimo a primera vista, pero los atacantes usaron SmartInstaller y crearon un nuevo archivo binario que restablece Ammyy_Service.exe antes de instalar Ammyy Admin.

Conclusiones

Dado que esta no es la primera vez que ammyy.com se ve comprometida, le recomendamos que instale una solución antivirus confiable antes de descargar Ammyy Admin. Informamos a los desarrolladores de Ammyy Admin sobre el problema.

Ammyy Admin es una herramienta legítima, pero los atacantes la han usado con frecuencia. Como resultado, algunos productos antivirus, incluido ESET, lo detectan como una aplicación potencialmente no deseada. Sin embargo, este software todavía se usa ampliamente, en particular, en Rusia.

Indicadores de compromiso

Detección de ESET
Win32/Kasidet

SHA-1 hashes

Instalador

6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93

Win32 / Kasidet

EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E

Servidor C & C

fifa2018start[.]info