Ammyy Admin Tool schon wieder durch Malware kompromittiert

User, welche das kostenfreie Admin-Tool Ammyy zwischen dem 13. und 14. Juni von der offiziellen Webseite ammyy.com heruntergeladen haben, sollte sich in Acht nehmen!

Nach Analysen von ESET wurde der offizielle Internetauftritt in diesem Zeitraum so manipuliert, dass die ansonsten legitime Software mit Malware kompromittiert war. Um dem Ganzen eine gewisse Verschrobenheit zu verpassen, versuchten die Angreifer ihre Aktivitäten hinter der Marke der FIFA Fußball-Weltmeisterschaft zu tarnen.

Ein bisschen fühlen wir uns in das Jahr 2015 zurückversetzt. Schon damals im Oktober bot die Webseite eine kostenfreie Software-Version von Ammyy Admin an, die aber durch die Cyber-Gang Buhtrap zusätzlichen Schadcode lieferte. Nun scheint sich die Geschichte zu wiederholen, denn schon wieder scheint die Webseite manipuliert worden zu sein. Das Problem bemerkten ESET-Forscher kurz nach Mitternacht des 13. Juni, welches noch bis zum Morgen des 14. Juni fort bestand.

Remote Admin Tool mit Kasidet Bot an der Seite

Computer-User, die im genannten Zeitraum die Software herunterluden, bekamen mehr als nur diese. Das Paket enthielt auch einen von ESET als Win32/Kasidet erkannten Mehrzweck-Trojaner und Banking-Malware. ESET rät allen potenziellen Opfern, Gegenmaßnahmen einzuleiten und ein zuverlässiges Sicherheitsprodukt zum Scannen und Reinigen der Geräte zu verwenden.

Win32/Kasidet ist ein Bot, der in kriminellen Untergrundmärkten verkauft wird und den verschiedene Cyberkriminelle aktiv nutzen. Der am 13. und 14. Juni 2018 auf der Website ammyy.com entdeckte Software-Build hatte zwei Hauptziele:

1. Diebstahl von Dateien, die Passwörter oder Zugänge zu Kryptowährung-Walltes und Accounts der Opfer enthalten. Die Realisierung erfolgt durch das gezielte Suchen nach Dateinamen und dem Übersenden an den C&C-Server. Gesuchte Therme:

• bitcoin
• txt
• txt
• dat

2. Berichten von Prozessen, welche die folgenden Zeichenfolgen enthalten:

• armoryqt
• bitcoin
• exodus
• electrum
• jaxx
• keepass
• kitty
• mstsc
• multibit
• putty
• radmin
• vsphere
• winscp
• xshell

Auch die URL des C&C-Servers hxxp://fifa2018start[.]info/panel/tasks.php war interessant. Es scheint so, als ob die Angreifer die laufende Fußball-Weltmeisterschaft als Tarnung für ihre bösartige Netzwerkkommunikation nutzen wollten.

ESET-Forscher entdeckten mehrere Ähnlichkeiten mit dem Angriff aus dem Jahr 2015. Damals missbrauchten Angreifer ammyy.com, um zahlreiche Malware-Familien darüber zu verbreiten – fast täglich wechselten sie diese. In diesem Jahr entdeckten ESET-Sicherheitsprodukte nur Win32/Kasidet. Allerdings veränderte sich die Verschleierung dreimal – wahrscheinlich sollte das die Entdeckung verhindern.

Eine weitere Ähnlichkeit zwischen den Vorfällen war der identische Dateiname – Ammyy_Service.exe – Hierin war die Payload enthalten. Das heruntergeladene Installationsprogramm AA_v3.exe mag auf den ersten Blick legitim erscheinen, aber die Angreifer benutzten einen SmartInstaller, um eine neue Binärdatei zu erstellen. Damit wird zuerst die Payload an das Computersystem übergeben, bevor sich die Ammyy Admin Software installiert.

Fazit

ESET empfiehlt aufgrund der wiederholten Manipulationen an der Webseite ammyy.com den Einsatz von verlässlichen und neusten Anti-Virenprogrammen.

Da das legitime Tool Ammyy Admin eine lange Geschichte aufweist, von Betrügern missbraucht zu werden, erkennt ESET es als potentielle unsichere Anwendung. Trotz allem ist die Software weit verbreitet – besonders in Russland ist sie beliebt.

Wir haben Ammyy über den Vorfall informiert, weil wir der Meinung sind, dass die User über den Sicherheitsvorfall aufgeklärt werden sollten.

Ein besonderer Dank geht an Jakub Souček, der uns auf die Kompromittierung hinwies und die Analyse lieferte.

IoCs