Tutti gli utenti che il 13 o il 14 giugno hanno scaricato lo strumento gratuito di amministrazione remota Ammyy Admin dal sito Web ufficiale ammyy.com, devono stare molto attenti!
Secondo l’analisi di ESET, in quel periodo il sito Web è stato compromesso per distribuire una versione infettata da malware di questo software altrimenti legittimo. Per aumentare le possibilità di successo, i criminali hanno cercato di nascondere la loro attività malevola sfruttando la popolarità della coppa del mondo FIFA attualmente in corso.
Sembra quasi di tornare indietro nel tempo. Nell’ottobre 2015 infatti, il sito Web che offre una versione gratuita del software Ammyy Admin ha iniziato a distribuire codici pericolosi collegati al gruppo di criminali informatici Buhtrap. Ora la storia si ripete e il sito sembra essere nuovamente compromesso. Il problema è stato individuato dai ricercatori ESET poco dopo la mezzanotte del 13 giugno e si è protratto fino alla mattina del 14 giugno.
Gli utenti che hanno scaricato il software da ammyy.com nel suddetto lasso di tempo hanno ricevuto più di quanto si aspettassero – infatti nel pacchetto di installazione si sono ritrovati anche un Trojan dalle molteplici funzioni e un malware bancario rilevato da ESET come Win32/Kasidet.
ESET consiglia a tutte le potenziali vittime di adottare misure precauzionali e utilizzare un prodotto di sicurezza affidabile per verificare e disinfettare i propri dispositivi.
Win32/Kasidet è un bot che viene venduto nel dark Web ed è utilizzato attivamente da vari gruppi di cybercriminali. La versione rilevata sul sito ammyy.com il 13 e il 14 giugno 2018 aveva due obiettivi principali
1. Rubare file che potrebbero contenere password o dati di accesso per portafogli di criptovaluta e per gli account delle vittime. Per recuperare queste informazioni il malware ricerca nel sistema i file che contengono nel nome le seguenti stringhe e successivamente li invia al proprio server C & C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. Riportare i processi che contengono nel nome le seguenti stringhe:
- armoryqt
- bitcoin
- exodus
- electrum
- jaxx
- keepass
- kitty
- mstsc
- multibit
- putty
- radmin
- vsphere
- winscp
- xshell
Anche l’URL del server di comando e controllo, hxxp: // fifa2018start [.] Info / panel / tasks.php, è risultato interessante – sembra che sia stato pubblicato dai criminali per utilizzare la Coppa del Mondo FIFA come copertura per le comunicazioni della loro rete malevola.
I ricercatori di ESET hanno notato molteplici somiglianze con l’attacco del 2015. A quel tempo, gli hacker utilizzavano in modo illecito ammyy.com per distribuire numerose famiglie di malware, cambiandole quasi ogni giorno. Nel caso del 2018, i sistemi ESET hanno rilevato solo Win32/Kasidet, tuttavia, il sistema di occultamento della payload è cambiato in tre occasioni, probabilmente per evitare il rilevamento da parte dei prodotti di sicurezza.
Un’altra similitudine tra i due incidenti è il nome identico del file che contiene la payload – Ammyy_Service.exe. Il programma di installazione scaricato AA_v3.exe può sembrare legittimo a prima vista, tuttavia gli hacker hanno utilizzato SmartInstaller e creato un nuovo codice binario, che rilascia Ammyy_Service.exe prima di installare Ammyy Admin.
Conclusioni
Poiché il sito è stato compromesso in modo simile al passato, ESET consiglia agli utenti di utilizzare una soluzione antimalware multilivello aggiornata e affidabile ogni volta che si tenta di scaricare software da questo sito Web.
Anche se Ammyy Admin è uno strumento legittimo, purtroppo è stato spesso oggetto di attacchi da parte dei criminali. Di conseguenza, diversi prodotti di sicurezza, tra cui ESET, lo rilevano come un’applicazione potenzialmente pericolosa. Tuttavia, è ancora molto diffuso e utilizzato, soprattutto in Russia.
Abbiamo informato Ammyy del problema, ma riteniamo comunque sia importante avvertire i suoi utenti degli attuali problemi di sicurezza.
2 Comments