Avisamos os usuários que baixaram o programa de acesso remoto Ammyy Admin no site oficial de 13 a 14 de junho. O site foi comprometido; nesse intervalo de tempo, uma versão trojanizada do programa foi distribuída a partir dele. Outra advertência: os atacantes usaram a marca da Copa do Mundo para mascarar atividades maliciosas da rede.
Em outubro de 2015, um site que oferecia uma versão gratuita do Ammyy Admin já era usado para distribuir malware.
Conectamos o ataque anterior
ao famoso grupo cibernético Buhtrap . Agora a história está se repetindo. Corrigimos o problema logo após a meia-noite de 13 de junho, a distribuição dos malvari continuou até a manhã de 14 de junho.
Administração remota e Kasidet bot incluídos
Os usuários que baixaram o Ammyy Admin de 13 a 14 de junho receberam um pacote de software legítimo e um trojan multiuso detectado pelos produtos da ESET como Win32 / Kasidet. Recomendamos que as possíveis vítimas examinem os dispositivos usando um produto antivírus.
O Win32 / Kasidet é um bot que é vendido na darknet e é usado ativamente por vários grupos cibernéticos. A montagem descoberta em ammyy.com em 13 e 14 de junho de 2018 tinha duas funções:
1. Roubo de arquivos que podem conter senhas e outros dados de autorização para carteiras de criptomoedas e contas de vítimas. Para esse fim, o malware procura pelos seguintes nomes de arquivos e os envia ao servidor C & C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. Procure processos por nomes:
- armoryqt
- bitcoin
- êxodo
- electrum
- jaxx
- keepass
- gatinho
- mstsc
- multibit
- massa de vidraceiro
- radmin
- vsphere
- winscp
- xshell
O URL do servidor C&C (hxxp: // fifa2018start [.] Info / panel / tasks.php) também é interessante. Parece que os atacantes decidiram usar a marca da Copa do Mundo para mascarar atividades maliciosas da rede.
Encontramos semelhanças com o ataque de 2015. Em seguida, os atacantes usaram o ammyy.com para distribuir várias famílias de malware, alterando-os quase todos os dias. Em 2018, apenas o Win32 / Kasidet foi distribuído, mas a ofuscação da carga mudou em três casos, provavelmente para evitar a detecção por produtos antivírus.
Outra semelhança entre os incidentes é o nome idêntico do arquivo que contém a carga útil -
Ammyy_Service.exe . Um instalador carregado do AA_v3.exe pode parecer legítimo à primeira vista, mas os atacantes usaram o SmartInstaller e criaram um novo arquivo binário que redefine o
Ammyy_Service.exe antes de instalar o Ammyy Admin.
Conclusões
Como essa não é a primeira vez que o ammyy.com é comprometido, recomendamos que você instale uma solução antivírus confiável antes de baixar o Ammyy Admin. Informamos os desenvolvedores do Ammyy Admin sobre o problema.
O Ammyy Admin é uma ferramenta legítima, mas os atacantes costumam usá-la. Como resultado, alguns produtos antivírus, incluindo a ESET, detectam-no como um aplicativo potencialmente indesejado. No entanto, este software ainda é amplamente utilizado, em particular, na Rússia.
Indicadores de compromisso
Detecção ESETWin32/KasidetHashes SHA-1Instalador
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903EServidor C & Cfifa2018start[.]info