我们警告6月13日至14日从官方网站下载Ammyy Admin远程访问程序的用户。 该站点已受到威胁;在此时间间隔内,从该站点分发了该程序的木马版本。 另一个警告:攻击者使用世界杯的商标掩盖了恶意网络活动。
2015年10月,提供免费版本Ammyy Admin的网站已被用来分发恶意软件。 我们
将先前的攻击
与著名的网络组织Buhtrap联系起来 。 现在,这个故事正在重演。 我们已在6月13日午夜过后解决了该问题,马尔瓦里河的分布一直持续到6月14日上午。
包括远程管理和Kasidet机器人
在6月13日至14日下载Ammyy Admin的用户将收到一揽子合法软件和一个多用途特洛伊木马,这些木马被ESET产品检测为Win32 / Kasidet。 我们建议潜在的受害者使用防病毒产品扫描设备。
Win32 / Kasidet是一个在Darknet上出售的机器人,并被各种网络组织积极使用。 2018年6月13日至14日在ammyy.com上发现的程序集具有两个功能:
1.可能包含密码和其他用于加密货币钱包和受害者帐户的授权数据的文件被盗。 为此,恶意软件将搜索以下文件名并将其发送到C&C服务器:
-比特币
-pass.txt
-passwords.txt
-wallet.dat
2.按给定名称搜索流程:
-Armeryqt
-比特币
-出埃及
-电子
-杰克斯
-Keepass
-小猫
-mstsc
-多位
-油灰
-管理员
-vSphere
-winscp
-xshell
C和C服务器的URL(hxxp:// fifa2018start [。] Info / panel /tasks.php)也很有趣。 攻击者似乎决定使用世界杯的商标来掩盖恶意网络活动。
我们发现与2015年攻击类似。 然后,攻击者使用ammyy.com分发了几类恶意软件,几乎每天都在更改它们。 在2018年,仅分发了Win32 / Kasidet,但有效负载混淆在三种情况下发生了变化,这可能是为了避免被防病毒产品检测到。
事件之间的另一个相似之处是包含有效负载的文件的名称相同
Ammyy_Service.exe
。 乍看之下,已加载的AA_v3.exe安装程序似乎合法,但攻击者使用SmartInstaller并创建了一个新的二进制文件,该文件在安装Ammyy Admin之前会重置
Ammyy_Service.exe
。
结论
由于这不是ammyy.com第一次受到威胁,因此建议您在下载Ammyy Admin之前安装可靠的防病毒解决方案。 我们将此问题通知了Ammyy Admin开发人员。
Ammyy Admin是合法工具,但攻击者经常使用它。 结果,包括ESET在内的某些防病毒产品将其检测为潜在有害应用程序。 但是,该软件仍然被广泛使用,尤其是在俄罗斯。
折衷指标
ESET检测Win32/Kasidet
SHA-1哈希安装程序
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E
C&C服务器fifa2018start[.]info