Официальный сайт Ammyy Admin раздавал зараженную утилиту

13 июля 2018 г., пятница, 21:00

Злоумышленники использовали Чемпионат мира по футболу 2018 для прикрытия вредоносной деятельности.

Злоумышленники взломали официальный сайт разработчика RDP-утилиты Ammyy Admin, чтобы использовать его для распространения зараженной трояном версии программы. Для маскировки своей деятельности мошенники использовали бренд проходящего в России чемпионата мира по футболу, так как их C&C-центр находился по адресу fifa2018start[.]Info/panel/tasks.php.

Обнаружившие проблему исследователи фирмы ESET заявили, что раздача зловреда происходила с полуночи 13 июня до утра 14 июня — в день, когда прошла церемония открытия турнира и первый матч.

Скачавшие Ammyy Admin пользователи вместе с легитимным софтом получили многоцелевой троян Kasidet. Бот, известный также как Neutrino, разработали в 2013 году для проведения DDoS-атак, однако пару лет назад его начали применять для кражи информации из браузеров и памяти PoS-систем.

Новая сборка заточена под две основные цели — хищение данных, в которых могут содержаться пароли для доступа к криптокошелькам, и поиск процессов по заданным именам:

armoryqt
bitcoin
exodus
electrum
jaxx
keepass
kitty
mstsc
multibit
putty
radmin
vsphere
winscp
xshell

На сайте Ammyy Admin в числе клиентов указаны “Газпром Нефть”, МВД РФ, “Почта России”, сервис “Электронная Москва” и несколько российских банков. Портал компании уже неоднократно взламывали, поэтому некоторые антивирусные решения определяют утилиту как потенциально опасную.

Атака, аналогичная июньской, произошла в октябре 2015 года: тогда группировка Buhtrap распространяла скомпрометированный дистрибутив в течение недели. В апреле следующего года эксперты “Лаборатории Касперского” обнаружили, что инфицированная сборка устанавливала банковский троян Lurk.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Официальный сайт Ammyy Admin раздавал зараженную утилиту

Добавить комментарий к новости