Un troian periculos a fost propagat cu ajutorul unui program legitim

Kasperky Lab a descoperit că un program legitim de control la distanță al computerului a fost folosit pentru a propaga un virus troian periculos.

În timp ce studiau un troian bancar periculos, Lurk, experții Kaspersky Lab au descoperit că infractorii cibernetici din spatele acestui program malware foloseau software legitim pentru infectarea dispozitivelor. Fără să aibă nicio bănuială, utilizatorii instalau un program legitim de acces la distanță, de pe site-ul oficial al dezvoltatorului (ammyy.com), permițând unui alt program, malware, să ajungă în dispozitivele lor, scrie agora.ro.

Gruparea Lurk a fost arestată în Rusia, la începutul lunii iunie 2016, și folosea un troian omonim complex. Cu ajutorul lui, au reușit să fure 45 de milioane de dolari (3 milioane de ruble1) de la bănci și alte instituții financiare și de la companii.

Pentru a răspândi programul malware, au folosit diferite tehnici, inclusiv atacuri de tip “watering hole”, prin care un site legitim este atacat și infectat cu exploit-uri care să infecteze, apoi, PC-ul victimei. Un exemplu de “watering hole” realizat de Lurk a fost interesant pentru că nu folosea exploit-uri, ci software legitim.
În timp ce făceau o analiză a troianului Lurk, experții Kaspersky Lab au observat un tipar ieșit din comun – multe dintre victimele programului malware aveau un instrument de control de la distanță, Ammyy Admin, instalat pe computere. Acest instrument este foarte popular printre administratorii de sisteme din companii, pentru că le permite să folosească infrastructura IT de la distanță. Care este, însă, legătura dintre el și programul malware?

Pentru a răspunde acestei întrebări, experții Kaspersky Lab au intrat pe site-ul oficial Ammyy Admin și au încercat să descarce programul. Au reușit, dar analiza a arătat că, împreună cu acesta, au descărcat și troianul Lurk. Ideea din spatele acestei strategii este clară: era puțin probabil ca victima să observe instalarea programului malware pentru că, din cauza naturii lor, programele de acces la distanță sunt considerate periculoase de unele soluții anti-virus. Știind că specialiștii IT din companii nu dau întotdeauna atenția cuvenită avertismentelor din partea soluțiilor de securitate, mulți ar considera-o o alertă fals pozitivă dacă ar fi detectată de soluția anti-virus. Practic, utilizatorii nu își dădeau seama că, într-adevăr, fusese descărcat și instalat un program malware în calculatoarele lor, scrie pcnews.ro.

Potrivit datelor Kaspersky Lab, troianul Lurk a fost răspândit prin intermediul site-ului ammyy.com, din februarie 2016. Cercetătorii companiei cred că atacatorii au profitat de vulnerabilitățile sistemului de securitate Ammyy Admin pentru a adăuga programul malware în arhiva de instalare a programului de acces la distanță. Experții Kaspersky Lab au anunțat administratorii site-ului despre incident, imediat ce l-au detectat și, aparent, aceștia au rezolvat problema.

Cu toate acestea, la începutul lunii aprilie 2016, o altă versiune a troianului Lurk a fost înregistrată pe site-ul Ammyy. De această dată, infractorii începuseră să răspândească un troian ușor modificat, care verifica – automat – dacă un computer era parte dintr-o rețea a unei companii. Programul malware era instalat doar dacă se confirma că este vorba de rețeaua unei companii.

Experții Kaspersky Lab au anunțat din nou activitatea suspectă și au primit răspunsul că problema a fost rezolvată. Pe 1 iunie 2016 a fost, însă, detectat un program malware nou – troianul Fareit – care fusese implantat în site. De data aceasta, troianul urmărea să fure informațiile personale ale utilizatorilor. Și această situație le-a fost raportată deținătorilor site-ului.

În prezent, site-ul nu găzduiește acest malware.