Ammyy Admin encore compromis pour des logiciels malveillants ; la Coupe du monde utilisée comme couverture

Les utilisateurs qui ont téléchargé gratuitement l'outil d'administration à distance Ammyy Admin  à partir de son site officiel ammyy.com le 13 ou 14 juin, doivent porter attention!

Selon une analyse d'ESET, au cours de cette période, le site Web a été compromis pour servir une version malveillante de ce logiciel par ailleurs légitime. Élément intéressant à noter quant à cet l'incident, les attaquants ont tenté de cacher leur activité malveillante derrière la marque de la Coupe du Monde de la FIFA en cours.

On croirait presque que nous faisons un voyage dans le temps. En octobre 2015, ce site Web offrant une version gratuite du logiciel Ammyy Admin a commencé à être utilisé pour diffuser du code malveillant connecté au groupe de cybercriminalité Buhtrap. Aujourd'hui, l'histoire se répète, le site semblant à nouveau compromis. Le problème a été repéré pour la première fois par les chercheurs de l'ESET peu après minuit le 13 juin et a persisté jusqu'au matin du 14 juin.

Admin à distance, le bot Kasidet bot en sus

Les utilisateurs qui ont téléchargé un logiciel d'ammyy.com dans l’intervalle susmentionné ont reçu plus que le logiciel demandé. En effet, une partie de l’envoi comprenait était également un cheval de Troie à usages multiples et un logiciel malveillant bancaire détecté par ESET sous le nom de Win32/Kasidet. ESET conseille à toutes les victimes potentielles de prendre des mesures de précaution et d'utiliser un produit de sécurité fiable pour scanner et nettoyer leurs appareils.

Win32/Kasidet est un bot qui est vendu dans les marchés criminels clandestins et est activement utilisé par divers groupes cybercriminels. Le build détecté sur le site ammyy.com les 13 et 14 juin 2018 avait deux objectifs principaux :

1. Le vol de fichiers qui pourraient contenir des mots de passe ou des données d'accès pour les cyber portefeuilles et les comptes de cryptomonnaie des victimes. Il y parvient en recherchant les noms de fichiers qui correspondent aux masques suivants et en les envoyant au serveur C&C :

• bitcoin
• pass.txt
• passwords.txt
• wallet.dat

2. Les processus de notification incluent les noms comprennent l'une des chaînes de caractères suivantes :

• armoryqt
• bitcoin
• exodus
• electrum
• jaxx
• keepass
• kitty
• mstsc
• multibit
• putty
• radmin
• vsphere
• winscp
• xshell

L'URL du serveur de commande et de contrôle, hxxp://fifa2018start[.]info/panel/tasks.php, était également intéressant. Il semble en effet qu'il ait été conçu par les attaquants pour utiliser la Coupe du Monde de la FIFA 2018 comme couverture pour leur réseau malveillant.

Les chercheurs de l'ESET ont repéré de multiples similitudes avec l’attaque de 2015. A l'époque, les attaquants utilisaient ammyy.com pour de nombreuses familles de logiciels malveillants, les changeant presque quotidiennement. Dans le cas de 2018, les systèmes ESET n'ont détecté que Win32/Kasidet, mais l'obscurcissement de la charge utile a été modifiée à trois reprises, probablement pour éviter la détection par les produits de sécurité.

Une autre similitude entre les incidents était le nom du fichier contenant la charge utile, qui était identique : Ammyy_Service.exe. L'installateur téléchargé AA_v3.exe peut sembler légitime à première vue. Les attaquants ont cependant utilisé SmartInstaller et construit un nouveau binaire, qui laisse dépose Ammyy_Service.exe avant d'installer le logiciel Ammyy Admin.

Conclusion

Comme le site a été déjà compromis dans le passé, ESET recommande aux utilisateurs d'exécuter une solution anti-logiciels malveillants multicouches fiable et à jour chaque fois qu'ils tentent de télécharger un logiciel à partir de ce site Web.

Bien qu'Ammyy Admin constitue un outil légitime, il a une longue histoire d'utilisation abusive par des fraudeurs. Par conséquent, plusieurs produits de sécurité, y compris les ESET, le détectent comme étant application potentiellement dangereuse. Cependant, il demeure largement utilisé, surtout en Russie.

Nous avons informé Ammyy de la question. Comme Ammyy Admin est largement utilisé, nous pensons qu'il est important d'avertir ses utilisateurs de ses problèmes de sécurité actuels.

Nous remercions tout spécialement Jakub Souček, qui nous a indiqué le compromis et nous a fourni l'analyse.

IoCs