Компания ESET предупреждает о компрометации официального сайта Ammyy Admin – популярной в России программы для удаленного доступа к компьютеру. 13-14 июня злоумышленники использовали сайт для распространения вредоносного ПО под видом легитимного софта.
Пользователи, скачавшие Ammyy Admin 13-14 июня, получили в комплекте с программой многоцелевой троян Win32/Kasidet. Вредоносное ПО поддерживало две функции:
- кража файлов, содержащих пароли и другие данные авторизации криптовалютных кошельков и аккаунтов;
- поиск процессов по заданным именам.
Судя по использованию сочетания fifa2018start в доменном имени управляющего сервера, злоумышленники решили использовать для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.
В октябре 2015 года сайт ammyy.com уже использовался для распространения вредоносного ПО. Специалисты ESET связали прошлый инцидент с кибергруппой Buhtrap.
В настоящее время история повторяется. В ESET выявили общие черты атаки 2015 года и нового инцидента. В прошлом злоумышленники распространяли через ammyy.com несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году раздается один троян, однако в трех случаях используется обфускация (запутывание) кода, позволяющая избежать обнаружения. Второе сходство – идентичное имя вредоносного исполняемого файла – Ammyy_Service.exe.
Поскольку это не первый случай компрометации сайта ammyy.com, ESET рекомендует пользователям устанавливать комплексное антивирусное ПО до загрузки Ammyy Admin.
Более подробная информация и индикаторы компрометации – в блоге ESET на Хабрахабре.
Знаете ли вы, что первым кодовым именем для первый версии ОС Android была Petit Four? Это - такие малюсенькие
Несмотря на то, что ассортимент игр для Nintendo Switch все еще не слишком богат, в нем можно найти ряд настоящих
Проблемы с iOS 11 неизбежны, так как сейчас многие пользователи загружают не только финальное обновление ОС, но также
