Software Ammyy Admin é comprometido com malware que usa a marca da Copa do Mundo para se esconder

Software Ammyy Admin é comprometido com malware que usa a marca da Copa do Mundo para se esconder

Cibercriminosos alteraram o site do Ammyy Admin para disseminar uma versão maliciosa do programa legítimo e usaram como fachada a Copa do Mundo da FIFA Rússia 2018.

Cibercriminosos alteraram o site do Ammyy Admin para disseminar uma versão maliciosa do programa legítimo e usaram como fachada a Copa do Mundo da FIFA Rússia 2018.

Os usuários que baixaram, durante os dias 13 e 14 de junho, o software gratuito de compartilhamento de área de trabalho do site oficial devem ter bastante atenção e cuidado.

De acordo com as análises da ESET, durante esses dias, o site oficial do Ammyy Admin foi comprometido com a implementação do download de uma versão maliciosa do programa legítimo. O mais interessante é que os cibercriminosos tentaram esconder a atividade maliciosa usando a marca da atual Copa do Mundo da FIFA que acontece na Rússia.

A história parece se repetir, já que em outubro de 2015, o site que oferece a versão gratuita do software Ammyy Admin começou a propagar um código malicioso ligado ao grupo de cibercriminosos Buhtrap. Agora ocorre o mesmo, já que o site foi comprometido novamente. Desta vez, o problema foi detectado por pesquisadores da ESET por volta da meia-noite de 13 de junho e permaneceu até a manhã do dia 14.

Software de administração remota continha o bot Kasidet

Os usuários que baixaram o software do site ammyy.com durante as datas mencionadas acima obtiveram mais do que o programa, uma vez que o download também incluía um malware bancário e um trojan detectado pela ESET como Win32/Kasidet. É por isso que a ESET recomenda a todas as possíveis vítimas que tomem as precauções necessárias e que usem uma solução de segurança confiável para verificar e limpar os dispositivos.

O Win32/Kasidet é um bot que é vendido no mercado negro e é usado ativamente por vários grupos de cibercriminosos. A estrutura detectada no site ammyy.com durante os últimos 13 e 14 de junho tinha dois objetivos principais:

#1 Roubar arquivos que pudessem conter senhas ou acessar dados de contas e/ou carteiras de criptomoedas das vítimas. Isso poderia ser obtido ao procurar nomes de arquivos que correspondessem às seguintes características para, em seguida, enviá-los ao servidor C&C.

  • bitcoin
  • pass.txt
  • passwords.txt
  • wallet.dat

#2 Relatando processos cujos nomes incluíssem qualquer um dos seguintes caracteres:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

A URL do servidor de comando e controle hxxp://fifa2018start[.]info/panel/tasks.php também é outro ponto interessante, considerando que os cibercriminosos usaram a Copa do Mundo da FIFA para esconder a rede maliciosa.

Os pesquisadores da ESET identificaram várias semelhanças com o ataque de 2015. Naquela época, os criminosos se aproveitaram do ammyy.com para propagar um grande número de famílias de malware. No caso de 2018, os sistemas da ESET detectaram apenas o Win32/Kasidet, no entanto, a ofuscação da carga útil mudou três vezes, provavelmente para evitar ser detectado pelas soluções de segurança.

Outra semelhança entre o incidente de 2015 e o caso de 2018 foi que o nome do arquivo que continha o payload era idêntico: Ammyy_Service.exe. O instalador baixado AA_v3.exe poderia parecer legítimo em um primeiro momento. No entanto, os cibercriminosos usaram o SmartInstaller e criaram um novo binário que droppea o arquivo Ammyy_Service.exe antes de instalar o software Ammyy Admin.

Conclusão

Como o site foi comprometido assim como ocorreu no passado, a ESET recomenda que os usuários executem uma solução de segurança confiável e atualizada cada vez que tentarem baixar o programa a partir desta página.

Embora seja uma ferramenta legítima, não é a primeira vez que os golpistas se aproveitam do Ammyy Admin. Como consequência, vários produtos de segurança, incluindo os da ESET, o detectam como um Aplicativo Potencialmente Inseguro. No entanto, o API continua sendo amplamente utilizado em todo o mundo, especialmente na Rússia.

Apesar de termos comunicado o caso para a Ammyy, achamos também importante alertar os usuários sobre o incidente de segurança, uma vez que é amplamente utilizado em todo o mundo.

Um agradecimento especial a Jakub Souček.

IoCs

ESET detection names
Win32/Kasidet
SHA-1 hashes
Installer
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Win32/Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E
C&C Servers
fifa2018start[.]info

Discussão