Programe legitime de control la distanta al computerului, folosite pentru a propaga un troian periculos

In timp ce studiau un troian bancar periculos,, expertii Kaspersky Lab au descoperit ca infractorii cibernetici din spatele acestui program malware foloseau software legitim pentru infectarea dispozitivelor. Fara sa aiba nicio banuiala, utilizatorii instalau un program legitim de acces la distanta, de pe site-ul oficial al dezvoltatorului (ammyy.com), permitand unui alt program, malware, sa ajunga in dispozitivele lor.

Gruparea Lurk a fost arestata in Rusia, la inceputul lunii iunie 2016, si folosea un troian omonim complex. Cu ajutorul lui, au reusit sa fure 45 de milioane de dolari (3 milioane de ruble[1]) de la banci si alte institutii financiare si de la companii.

Pentru a raspandi programul malware, au folosit diferite tehnici, inclusiv atacuri de tip “watering hole”, prin care un site legitim este atacat si infectat cu exploit-uri care sa infecteze, apoi, PC-ul victimei. Un exemplu de “watering hole” realizat de Lurk a fost interesant pentru ca nu folosea exploit-uri, ci software legitim.

k

In timp ce faceau o analiza a troianului Lurk, expertii Kaspersky Lab au observat un tipar iesit din comun – multe dintre victimele programului malware aveau un instrument de control de la distanta, Ammyy Admin, instalat pe computere. Acest instrument este foarte popular printre administratorii de sisteme din companii, pentru ca le permite sa foloseasca infrastructura IT de la distanta. Care este, insa, legatura dintre el si programul malware?

Pentru a raspunde acestei intrebari, expertii Kaspersky Lab au intrat pe site-ul oficial Ammyy Admin si au incercat sa descarce programul. Au reusit, dar analiza a aratat ca, impreuna cu acesta, au descarcat si troianul Lurk. Ideea din spatele acestei strategii este clara: era putin probabil ca victima sa observe instalarea programului malware pentru ca, din cauza naturii lor, programele de acces la distanta sunt considerate periculoase de unele solutii anti-virus. Stiind ca specialistii IT din companii nu dau intotdeauna atentia cuvenita avertismentelor din partea solutiilor de securitate, multi ar considera-o o alerta fals pozitiva daca ar fi detectata de solutia anti-virus. Practic, utilizatorii nu isi dadeau seama ca, intr-adevar, fusese descarcat si instalat un program malware in calculatoarele lor.

Potrivit datelor Kaspersky Lab, troianul Lurk a fost raspandit prin intermediul site-ului ammyy.com, din februarie 2016. Cercetatorii companiei cred ca atacatorii au profitat de vulnerabilitatile sistemului de securitate Ammyy Admin pentru a adauga programul malware in arhiva de instalare a programului de acces la distanta. Expertii Kaspersky Lab au anuntat administratorii site-ului despre incident, imediat ce l-au detectat si, aparent, acestia au rezolvat problema.

Cu toate acestea, la inceputul lunii aprilie 2016, o alta versiune a troianului Lurk a fost inregistrata pe site-ul Ammyy. De aceasta data, infractorii incepusera sa raspandeasca un troian usor modificat, care verifica – automat – daca un computer era parte dintr-o retea a unei companii. Programul malware era instalat doar daca se confirma ca este vorba de reteaua unei companii.

Expertii Kaspersky Lab au anuntat din nou activitatea suspecta si au primit raspunsul ca problema a fost rezolvata. Pe 1 iunie 2016 a fost, insa, detectat un program malware nou – troianul Fareit – care fusese implantat in site. De data aceasta, troianul urmarea sa fure informatiile personale ale utilizatorilor. Si aceasta situatie le-a fost raportata detinatorilor site-ului.

In prezent, site-ul nu gazduieste acest malware.

“Folosirea de software legitim in scopuri infractionale este o tehnica foarte eficienta de propagare a programelor malware. In primul rand, pentru ca infractorii cibernetici sunt capabili sa se joace cu perceptiile utilizatorilor in legatura cu siguranta software-ului legitim pe care il descarca. Atunci cand descarca si instaleaza programe de la dezvoltatori cunoscuti, utilizatorii nu se gandesc ca ar putea sa aiba anexe infectate. Acest lucru face mai simpla misiunea infractorilor cibernetici de a ajunge la victimele lor si mareste semnificativ numarul acestora”, avertizeaza Vasily Bernikov, Malware Analyst, Kaspersky Lab.

Pentru a diminua riscul acestui tip de atac, serviciile IT ar trebui sa verifice in permanenta vulnerabilitatile din interiorul organizatiilor si sa coreleze acest lucru cu implementarea unor solutii de securitate eficiente si cu o crestere a constientizarii privind securitatea cibernetica in randul angajatilor.

Produsele Kaspersky Lab detecteaza programele malware mentionate mai sus, ca Trojan-Spy.Win32.Lurk si Trojan-PSW.Win32.Fareit, si impiedica instalarea lor de pe site-ul ammyy.com. Le recomandam organizatiilor sa verifice prezenta acestui program malware in retelele lor.

Mai multe informatii si detalii despre modalitatile de atac sunt disponibile pe Securelist.

Despre Kaspersky Lab

Kaspersky Lab este o companie globala de securitate cibernetica, fondata in 1997. Cunostintele in domeniul amenintarilor cibernetice si expertiza in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii pentru a proteja companii, infrastructura critica, autoritati guvernamentale si utilizatori individuali din toata lumea, Portofoliul complex de securitate include protectie endpoint de top si un numar de solutii specializate de securitate si de servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.

Kaspersky Lab – 19 iulie 2016

Un comentariu la „Programe legitime de control la distanta al computerului, folosite pentru a propaga un troian periculos

Lasă un răspuns