Programe legitime de control la distanță al computerului, folosite pentru a propaga un troian periculos

41

În timp ce studiau un troian bancar periculos, Lurk, experții Kaspersky Lab au descoperit că infractorii cibernetici din spatele acestui program malware foloseau software legitim pentru infectarea dispozitivelor. Fără să aibă nicio bănuială, utilizatorii instalau un program legitim de acces la distanță, de pe site-ul oficial al dezvoltatorului (ammyy.com), permițând unui alt program, malware, să ajungă în dispozitivele lor.

 

Gruparea Lurk a fost arestată în Rusia, la începutul lunii iunie 2016, și folosea un troian omonim complex. Cu ajutorul lui, au reușit să fure 45 de milioane de dolari (3 milioane de ruble [1]) de la bănci și alte instituții financiare și de la companii.

 

Pentru a răspândi programul malware, au folosit diferite tehnici, inclusiv atacuri de tip “watering hole”, prin care un site legitim este atacat și infectat cu exploit-uri care să infecteze, apoi, PC-ul victimei. Un exemplu de “watering hole” realizat de Lurk a fost interesant pentru că nu folosea exploit-uri, ci software legitim.

 

În timp ce făceau o analiză a troianului Lurk, experții Kaspersky Lab au observat un tipar ieșit din comun – multe dintre victimele programului malware aveau un instrument de control de la distanță, Ammyy Admin, instalat pe computere. Acest instrument este foarte popular printre administratorii de sisteme din companii, pentru că le permite să folosească infrastructura IT de la distanță. Care este, însă, legătura dintre el și programul malware?

 

Pentru a răspunde acestei întrebări, experții Kaspersky Lab au intrat pe site-ul oficial Ammyy Admin și au încercat să descarce programul. Au reușit, dar analiza a arătat că, împreună cu acesta, au descărcat și troianul Lurk. Ideea din spatele acestei strategii este clară: era puțin probabil ca victima să observe instalarea programului malware pentru că, din cauza naturii lor, programele de acces la distanță sunt considerate periculoase de unele soluții anti-virus. Știind că specialiștii IT din companii nu dau întotdeauna atenția cuvenită avertismentelor din partea soluțiilor de securitate, mulți ar considera-o o alertă fals pozitivă dacă ar fi detectată de soluția anti-virus. Practic, utilizatorii nu își dădeau seama că, într-adevăr, fusese descărcat și instalat un program malware în calculatoarele lor.

 

Potrivit datelor Kaspersky Lab, troianul Lurk a fost răspândit prin intermediul site-ului ammyy.com, din februarie 2016. Cercetătorii companiei cred că atacatorii au profitat de vulnerabilitățile sistemului de securitate Ammyy Admin pentru a adăuga programul malware în arhiva de instalare a programului de acces la distanță. Experții Kaspersky Lab au anunțat administratorii site-ului despre incident, imediat ce l-au detectat și, aparent, aceștia au rezolvat problema.

 

Cu toate acestea, la începutul lunii aprilie 2016, o altă versiune a troianului Lurk a fost înregistrată pe site-ul Ammyy. De această dată, infractorii începuseră să răspândească un troian ușor modificat, care verifica – automat – dacă un computer era parte dintr-o rețea a unei companii. Programul malware era instalat doar dacă se confirma că este vorba de rețeaua unei companii.

 

Experții Kaspersky Lab au anunțat din nou activitatea suspectă și au primit răspunsul că problema a fost rezolvată. Pe 1 iunie 2016 a fost, însă, detectat un program malware nou – troianul Fareit – care fusese implantat în site. De data aceasta, troianul urmărea să fure informațiile personale ale utilizatorilor. Și această situație le-a fost raportată deținătorilor site-ului.

 

În prezent, site-ul nu găzduiește acest malware.

 

“Folosirea de software legitim în scopuri infracționale este o tehnică foarte eficientă de propagare a programelor malware. În primul rând, pentru că infractorii cibernetici sunt capabili să se joace cu percepțiile utilizatorilor în legătură cu siguranța software-ului legitim pe care îl descarcă. Atunci când descarcă și instalează programe de la dezvoltatori cunoscuți, utilizatorii nu se gândesc că ar putea să aibă anexe infectate. Acest lucru face mai simplă misiunea infractorilor cibernetici de a ajunge la victimele lor și mărește semnificativ numărul acestora”, avertizează Vasily Bernikov, Malware Analyst, Kaspersky Lab.

 

Pentru a diminua riscul acestui tip de atac, serviciile IT ar trebui să verifice în permanență vulnerabilitățile din interiorul organizațiilor și să coreleze acest lucru cu implementarea unor soluții de securitate eficiente și cu o creștere a conștientizării privind securitatea cibernetică în rândul angajaților. 

 

Produsele Kaspersky Lab detectează programele malware menționate mai sus, ca Trojan-Spy.Win32.Lurk și Trojan-PSW.Win32.Fareit, și împiedică instalarea lor de pe site-ul ammyy.com. Le recomandăm organizațiilor să verifice prezența acestui program malware în rețelele lor.

 

[1] Date de la Ministerul de Interne din Rusia  

 

Πηγή: securelist