Специалисты ESET предупредили, что сайт Ammyy Admin, популярного в некоторых странах решения для удаленного администрирования, вновь подвергся взлому. 13 и 14 июня 2018 года под видом легитимной программы через сайт распространялась малварь Kasidet. Разработчиков Ammyy Admin уже уведомили о проблеме.

Исследователи напомнили, что в 2015 году сайт, предлагающий бесплатную версию Ammyy Adminуже, уже подвергался компрометации и использовался для распространения вредоносного ПО. Прошлую атаку специалисты связали с деятельностью известной хакерской группы Buhtrap.

На этот раз пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который обнаруживается продуктами ESET как Win32/Kasidet. Kasidet – известный бот, который продается в даркнете и активно используется разными хак-группами. Сборка, обнаруженная на сайте ammyy.com, имела две основных функции. Первый была кража файлов, которые могут содержать пароли и другие учетные данные для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на управляющий сервер:

• bitcoin;


• txt;


• txt;


• dat.

Второй функцией был поиск процессов по заданным именам:

• armoryqt ;


• bitcoin;


• exodus;


• electrum;


• jaxx;


• keepass;


• kitty;


• mstsc;


• multibit;


• putty;


• radmin;


• vsphere;


• winscp;


• xshell.

Также исследователей заинтересовал URL-адрес управляющего сервера преступников: hxxp: // fifa2018start [.] Info / panel / tasks.php. Специалисты пишут, что атакующие, по всей видимости, решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

Специалисты ESET пишут, что им удалось обнаружить сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году через взломанный сайт распространялся только Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку  (Ammyy_Service.exe). Загруженный установщик AA_v3.exe мог выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывал Ammyy_Service.exe до установки Ammyy Admin.

Эксперты отмечают, что Ammyy Admin – это легитимный инструмент, однако им нередко пользуются злоумышленники. В результате некоторые антивирусные продукты, включая решения ESET, детектируют его как потенциально нежелательное приложение. Впрочем, это не мешает софту по-прежнему широко использоваться в ряде стран, в частности, в России.