14:14 - 12.07.2018
Атакующие использовали для маскировки вредоносной активности бренд Чемпионата мира по футболу
ESET предупреждает о компрометации официального сайта Ammyy Admin – популярной в России программы для удаленного доступа к компьютеру. 13-14 июня злоумышленники использовали сайт для распространения вредоносного ПО под видом легитимного софта.
Пользователи, скачавшие Ammyy Admin 13-14 июня, получили в комплекте с программой многоцелевой троян Win32/Kasidet. Вредоносное ПО поддерживало две функции:
Судя по использованию сочетания fifa2018start в доменном имени управляющего сервера, злоумышленники решили использовать для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.
В октябре 2015 года сайт ammyy.com уже использовался для распространения вредоносного ПО. Специалисты ESET связали прошлый инцидент с кибергруппой Buhtrap.
В настоящее время история повторяется. В ESET выявили общие черты атаки 2015 года и нового инцидента. В прошлом злоумышленники распространяли через ammyy.com несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году раздается один троян, однако в трех случаях используется обфускация (запутывание) кода, позволяющая избежать обнаружения. Второе сходство – идентичное имя вредоносного исполняемого файла – Ammyy_Service.exe.
Поскольку это не первый случай компрометации сайта ammyy.com, ESET рекомендует пользователям устанавливать комплексное антивирусное ПО до загрузки Ammyy Admin.
Более подробная информация и индикаторы компрометации – в блоге ESET на Хабрахабре.
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
18 Апрель 2024
16 Апрель 2024
16 Апрель 2024
16 Апрель 2024
16 Апрель 2024
16 Апрель 2024
16 Апрель 2024