Kami memperingatkan pengguna yang mengunduh program akses jarak jauh Admin Ammyy dari situs web resmi pada 13-14 Juni. Situs ini dikompromikan, dalam interval waktu ini, versi program trojanized didistribusikan dari itu. Peringatan lain: penyerang menggunakan merek Piala Dunia untuk menutupi aktivitas jaringan jahat.
Pada Oktober 2015, sebuah situs yang menawarkan versi gratis Ammyy Admin sudah digunakan untuk mendistribusikan malware. Kami
menghubungkan serangan sebelumnya
dengan Buhtrap cybergroup yang terkenal . Sekarang ceritanya berulang. Kami memperbaiki masalah tak lama setelah tengah malam pada 13 Juni, distribusi malvari berlanjut hingga pagi hari 14 Juni.
Administrasi jarak jauh dan bot Kasidet disertakan
Pengguna yang mengunduh Ammyy Admin pada 13-14 Juni menerima paket perangkat lunak yang sah dan trojan serbaguna, yang dideteksi oleh produk ESET sebagai Win32 / Kasidet. Kami merekomendasikan bahwa calon korban memindai perangkat menggunakan produk antivirus.
Win32 / Kasidet adalah bot yang dijual di darknet dan secara aktif digunakan oleh berbagai kelompok cyber. Majelis yang ditemukan di ammyy.com pada 13 dan 14 Juni 2018, memiliki dua fungsi:
1. Pencurian file yang mungkin berisi kata sandi dan data otorisasi lainnya untuk dompet cryptocurrency dan akun korban. Untuk tujuan ini, malware mencari nama file berikut dan mengirimkannya ke server C&C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. Cari proses dengan nama yang diberikan:
- armoryqt
- bitcoin
- Keluaran
- electrum
- Jaxx
- keepass
- kitty
- mstsc
- multibit
- dempul
- Radmin
- vsphere
- winscp
- xshell
URL server C&C (hxxp: // fifa2018mulai [.] Info / panel / task.php) juga menarik. Tampaknya para penyerang memutuskan untuk menggunakan merek Piala Dunia untuk menutupi aktivitas jaringan jahat.
Kami menemukan kesamaan dengan serangan 2015. Kemudian penyerang menggunakan ammyy.com untuk mendistribusikan beberapa keluarga malware, mengubahnya hampir setiap hari. Pada tahun 2018, hanya Win32 / Kasidet yang didistribusikan, tetapi kebingungan muatan berubah dalam tiga kasus, mungkin untuk menghindari deteksi oleh produk antivirus.
Kesamaan lain antara insiden adalah nama identik dari file yang berisi payload -
Ammyy_Service.exe . Penginstal AA_v3.exe yang dimuat mungkin tampak sah pada pandangan pertama, tetapi penyerang menggunakan SmartInstaller dan membuat file biner baru yang me-reset
Ammyy_Service.exe sebelum menginstal Ammyy Admin.
Kesimpulan
Karena ini bukan pertama kalinya ammyy.com dikompromikan, kami sarankan Anda menginstal solusi antivirus yang dapat diandalkan sebelum mengunduh Ammyy Admin. Kami memberi tahu pengembang Admin Ammyy tentang masalah ini.
Ammyy Admin adalah alat yang sah, tetapi penyerang sering menggunakannya. Akibatnya, beberapa produk antivirus, termasuk ESET, mendeteksinya sebagai aplikasi yang mungkin tidak diinginkan. Namun, perangkat lunak ini masih banyak digunakan, khususnya di Rusia.
Indikator kompromi
Deteksi ESETWin32/KasidetHash SHA-1Pemasang
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903EServer C&Cfifa2018start[.]info