Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 103 710

Сайт Ammyy Admin снова скомпрометирован


 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 11 лет 9 мес.
Сообщений: 2200
Ratio: 25,009
Поблагодарили: 12369
100%
nnm-club.gif
Предупреждаем пользователей, скачивавших 13-14 июня 2018 г. с официального сайта программу для удаленного доступа Ammyy Admin. Сайт был скомпрометирован, в этом временном интервале с него раздавалась троянизированная версия программы. Еще один нюанс: атакующие использовали для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.

В октябре 2015 года сайт, предлагающий бесплатную версию Ammyy Admin, уже использовался для распространения вредоносного ПО. Прошлую атаку мы связываем с известной кибергруппой Buhtrap. Сейчас история повторяется. Мы зафиксировали проблему вскоре после полуночи 13 июня, раздача малвари продолжалась до утра 14 июня.

Пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который детектируется продуктами ESET как Win32/Kasidet. Рекомендуем потенциальным жертвам просканировать устройства с помощью антивирусного продукта.

Win32/Kasidet – бот, который продается в даркнете и активно используется различными кибергруппами.
1. Кража файлов, которые могут содержать пароли и другие данные авторизации для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на C&C-сервер:
— bitcoin
— pass.txt
— passwords.txt
— wallet.dat

2. Поиск процессов по заданным именам:
— armoryqt
— bitcoin
— exodus
— electrum
— jaxx
— keepass
— kitty
— mstsc
— multibit
— putty
— radmin
— vsphere
— winscp
— xshell

URL-адрес C&C-сервера (hxxp: // fifa2018start [.] Info / panel / tasks.php) также представляет интерес. Похоже, что атакующие решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

Обнаружено сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году распространялся только Win32/Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку – Ammyy_Service.exe. Загруженный установщик AA_v3.exe может выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывает Ammyy_Service.exe до установки Ammyy Admin.
Поскольку это не первый случай компрометации сайта ammyy.com, рекомендуем установить надежное антивирусное решение до загрузки Ammyy Admin. Мы сообщили разработчикам Ammyy Admin о проблеме.

Ammyy Admin – легитимный инструмент, однако им нередко пользовались злоумышленники. В результате некоторые антивирусные продукты детектируют его как потенциально нежелательное приложение. Однако этот софт по-прежнему широко используется, в частности, в России.

Подробнее: Habr & WeLiveSecurity

_________________
Люди, которые читают книги, всегда будут управлять теми, кто смотрит телевизор.
_Sef
 
Стаж: 5 лет 9 мес.
Сообщений: 266
Ratio: 58,058
Поблагодарили: 880
100%
Какая оперативность, спустя месяц.. :задумался:

_________________
Если у кого есть возможность - проверьте запуск на квадратном мониторе. ©
Jackzlo
Стаж: 7 лет 4 мес.
Сообщений: 256
Ratio: 3,579
61.15%
russia.gif
Мне и в голову бы не пришло никогда создать документ с именем "pass.txt"
Azwraith
Стаж: 3 года 7 мес.
Сообщений: 80
Ratio: 28,028
100%
russia.gif
Картинка к новости супер.

_________________
Никому не верьте, уж поверьте мне Хулиганю
sciensys
 
Стаж: 8 лет
Сообщений: 373
Ratio: 42,706
Раздал: 50,66 TB
100%
russia.gif
следующий team ? а может уже? или даже давно..
пора перелазить на vnc
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страница 1 из 1