Ammyy admin отзывы безопасность

Xakep #248. Checkm8

Специалисты ESET предупредили, что сайт Ammyy Admin, популярного в некоторых странах решения для удаленного администрирования, вновь подвергся взлому. 13 и 14 июня 2018 года под видом легитимной программы через сайт распространялась малварь Kasidet. Разработчиков Ammyy Admin уже уведомили о проблеме.

Исследователи напомнили, что в 2015 году сайт, предлагающий бесплатную версию Ammyy Admin уже, уже подвергался компрометации и использовался для распространения вредоносного ПО. Прошлую атаку специалисты связали с деятельностью известной хакерской группы Buhtrap.

На этот раз пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который обнаруживается продуктами ESET как Win32/Kasidet. Kasidet – известный бот, который продается в даркнете и активно используется разными хак-группами. Сборка, обнаруженная на сайте ammyy.com, имела две основных функции. Первый была кража файлов, которые могут содержать пароли и другие учетные данные для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на управляющий сервер:

Второй функцией был поиск процессов по заданным именам:

Также исследователей заинтересовал URL-адрес управляющего сервера преступников: hxxp: // fifa2018start [.] Info / panel / tasks.php. Специалисты пишут, что атакующие, по всей видимости, решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

Специалисты ESET пишут, что им удалось обнаружить сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году через взломанный сайт распространялся только Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку (Ammyy_Service.exe). Загруженный установщик AA_v3.exe мог выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывал Ammyy_Service.exe до установки Ammyy Admin.

Эксперты отмечают, что Ammyy Admin – это легитимный инструмент, однако им нередко пользуются злоумышленники. В результате некоторые антивирусные продукты, включая решения ESET, детектируют его как потенциально нежелательное приложение. Впрочем, это не мешает софту по-прежнему широко использоваться в ряде стран, в частности, в России.

Портал Softpedia обнаружил проблему после получения тревожных комментариев от пользователей, которые сообщали о заражениях после использования сайта Ammyy Admin.

Вот что сообщали пользователи:

“Загрузил Ammyy Admin на два компьютера сегодня утром. Теперь файлы на обоих машинах зашифрованы. Я знаю точно, что проблема связана именно с сайтом Ammyy Admin, потому что это единственный сайт, который я посещал на одном из компьютеров. Электронных сообщений на данном компьютере нет.”

“Мой компьютер был тоже заражен из-за этого сайта. Только что завершил очистку компьютера от шифратора, держитесь подальше от данного сайта!”

После получения комментариев Softpedia сразу же связалась с Лоуренсом Абрамсом (Lawrence Abrams), представителем портала Bleeping Computer, и провела тестирование для анализа заражения и выяснения, что именно не так с сайтом.

Все тесты имели негативные результаты, но сегодня исследователь безопасности из команды MalwareHunterTeam сообщил Softpedia, что эти усилия были напрасны, потому сайт стал распространять чистый установщик, начиная с 14 сентября 21:00-23:00 по московскому времени.

Сайт Ammyy Admin был взломан как минимум 2 дня

Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.

Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.

Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.

Ammyy Admin распространял новейшую версию трояна-шифратора Cerber

Cerber, обнаруженный в начале года, имеет несколько веток, некоторые из которых были взломаны, после чего исследователи смогли создать дескрипторы, чтобы помочь жертвам трояна восстановить свои файлы.

Файл, распространяемый на сайте Ammyy Admin, содержал последнюю, третью версию, которая после шифрования файлов присваивает им расширение .cerber3. Эта версия еще не была взломана на момент написания статьи.

Исследователи из MalwareHunterTeam сообщили Softpedia, что они не уведомляли администратора сайта о взломе, и прекращение распространения угрозы могло быть остановлено автоматически. Либо киберпреступники поняли, что они раскрыты, либо решили подготовить новую версию установщика Ammyy, который будет распространять другие виды вредоносных программ.

Сайт Ammyy Admin успел распространить 6 видов вредоносных приложений

В прошлом ESET и Kaspersky публиковали отчеты о том, какие виды зловредов распространяет этот сайт. В разное время Ammyy Admin использовался для распространения банковских троянов Ranbyus, Lurk и Buhtrap, троянов CoreBot и Fareit, а также NetWire RAT.

ESET сообщал, что сайт Ammyy Admin распространял вредоносные программы в октябре и ноябре 2015 года, а Kaspersky упоминает аналогичные инциденты в феврале и июле 2016 года.

Softpedia запросила комментарии от команды Ammyy Admin. На момент написания статьи файлы сайта являются чистыми, но нет никаких гарантий, что ничего не изменится, учитывая богатое темное прошлое.

Некоторые пользователи считают, что частые взломы сайта являются чем-то большим, чем простым совпадением.

В своей работе с клиентами я много использую программы удаленного доступа. Выбор мой пал на ammyy Admin. Купил десяток платных лицензий. Ставлю их на компьютеры пользователей, при необходимости подключаюсь, консультирую и осуществляю техподдержку. Но вчера наткнулся на статью и очень расстроился. Оказывается, что я своими руками устанавливал трояна. Оказывается, что большие проблемы у этого сервиса удаленного доступа. Есть несколько признаков, что сайт ammyy.com не подконтролен создателям программы Ammyy. А на сайте размещена программа с внедренным трояном, который предоставляет доступ к вашему компьютеру злоумышленникам. Сайт уже два года не обновляется, не выходят новые релизы. Деньги за лицензии собирает непонятно какое ИП

Всем советую срочно избавиться от этого софта, пока ваш банковский счет не обнулился.

Исследование, проведённое «Лабораторией Касперского», показало, что для распространения нашумевшего трояна Lurk злоумышленники использовали не только программы-эксплойты и бреши внутри корпоративных сетей различных организаций, но и легитимное программное обеспечение (ПО). Напомним, что именно с помощью Lurk киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков. Злоумышленники действовали в течение пяти лет, и лишь недавно группировку удалось ликвидировать.

Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе.

Выбор преступников на программу удалённого администрирования пал не случайно. Дело в том, что установка подобных продуктов часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.


[an error occurred while processing the directive]
Карта сайта