Nous avertissons les utilisateurs qui ont téléchargé le programme d'accès à distance Ammyy Admin sur le site officiel du 13 au 14 juin. Le site a été compromis; dans cet intervalle de temps, une version trojanisée du programme a été distribuée à partir de celui-ci. Autre mise en garde: les attaquants ont utilisé la marque de la Coupe du monde pour masquer les activités réseau malveillantes.
En octobre 2015, un site proposant une version gratuite d'Ammyy Admin était déjà utilisé pour distribuer des malwares. Nous
connectons l' attaque précédente
avec le célèbre cyber-groupe Buhtrap . Maintenant, l'histoire se répète. Nous avons résolu le problème peu après minuit le 13 juin, la distribution des malvari s'est poursuivie jusqu'au matin du 14 juin.
Administration à distance et bot Kasidet inclus
Les utilisateurs qui ont téléchargé Ammyy Admin du 13 au 14 juin ont reçu un package de logiciels légitimes et un cheval de Troie polyvalent, détecté par les produits ESET sous le nom de Win32 / Kasidet. Nous recommandons aux victimes potentielles d'analyser les appareils à l'aide d'un produit antivirus.
Win32 / Kasidet est un bot qui est vendu sur le darknet et est activement utilisé par divers cyber-groupes. L'assemblage découvert sur ammyy.com les 13 et 14 juin 2018, avait deux fonctions:
1. Vol de fichiers pouvant contenir des mots de passe et d'autres données d'autorisation pour les portefeuilles de crypto-monnaie et les comptes des victimes. À cette fin, le logiciel malveillant recherche les noms de fichiers suivants et les envoie au serveur C & C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. Recherchez les processus par prénoms:
- armoryqt
- bitcoin
- exode
- electrum
- jaxx
- Keepass
- minou
- mstsc
- multibit
- mastic
- radmin
- vsphere
- winscp
- xshell
L'URL du serveur C & C (hxxp: // fifa2018start [.] Info / panel / tasks.php) est également intéressante. Il semble que les attaquants aient décidé d'utiliser la marque de la Coupe du monde pour masquer les activités réseau malveillantes.
Nous avons trouvé des similitudes avec l'attaque de 2015. Ensuite, les attaquants ont utilisé ammyy.com pour distribuer plusieurs familles de logiciels malveillants, en les modifiant presque tous les jours. En 2018, seul Win32 / Kasidet a été distribué, mais l'obfuscation de la charge utile a changé dans trois cas, probablement pour éviter la détection par des produits antivirus.
Une autre similitude entre les incidents est le nom identique du fichier contenant la charge utile -
Ammyy_Service.exe . Un programme d'installation AA_v3.exe chargé peut sembler légitime à première vue, mais les attaquants ont utilisé SmartInstaller et créé un nouveau fichier binaire qui réinitialise
Ammyy_Service.exe avant d'installer Ammyy Admin.
Conclusions
Étant donné que ce n'est pas la première fois que ammyy.com est compromis, nous vous recommandons d'installer une solution antivirus fiable avant de télécharger Ammyy Admin. Nous avons informé les développeurs d'Admin Ammyy du problème.
Ammyy Admin est un outil légitime, mais les attaquants l'ont souvent utilisé. Par conséquent, certains produits antivirus, dont ESET, le détectent comme une application potentiellement indésirable. Cependant, ce logiciel est encore largement utilisé, en particulier en Russie.
Indicateurs de compromis
Détection ESETWin32/KasidetHachage SHA-1Installateur
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903EServeur C & Cfifa2018start[.]info