ИБ-исследователи «Лаборатории Касперского» обнаружили интересную особенность в распространении банковского вредоноса Lurk.
Согласно данным экспертов, пострадавшие от Lurk пользователи также устанавливали на своем устройстве программу удаленного администрирования Ammyy Admin.
Исследование подтвердило, что официальный сайт Ammyy Admin был скомпрометирован. Вредонос загружался на устройства пользователей вместе с официальным ПО от компании Ammyy Admin. Размещенный на легитимном сайте установщик программы Ammyy Admin, используемой для удаленного доступа к Рабочему столу, не имел цифровой подписи и представлял собой NSIS-архив. После запуска этого архива во временном каталоге создавались и запускались на исполнение два файла: aa_v3.exe – установщик утилиты администрирования Ammyy Admin, подписанный цифровой подписью, и ammyysvc.exe – вредоносная программа-шпион Trojan-Spy.Win32.Lurk.
Согласно исследователям, загружаемый с официального сайта файл-установщик Ammyy Admin представляет собой троян-дроппер, предназначенный для скрытой установки в системе вредоноса, хотя внешне процесс выглядит, как установка легитимного ПО. Раздача дроппера совместно с легитимным ПО шла постоянно (с небольшими перерывами), по нескольку часов в будние дни, отметили эксперты. Для успешной раздачи вредоносного ПО злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при запросе на скачивание пользователям выдавался вредоносный дроппер.
Злоумышленники не раз использовали сайт Ammyy Group для распространения Lurk. Специалисты ЛК несколько раз уведомляли компанию о кибератаках. Каждый раз проблема устранялась, но временно. С 1 июня содержимое дроппера изменилось. Вместо Lurk с сайта начал распространятся вредонос Trojan-PSW.Win32.Fareit, предназначенный для кражи персональной информации. Ammyy Admin уже уведомлена о проблеме.
