Software Ammyy Admin é comprometido com malware que usa a marca da Copa do Mundo para se esconder

Os usuários que baixaram, durante os dias 13 e 14 de junho, o software gratuito de compartilhamento de área de trabalho do site oficial devem ter bastante atenção e cuidado.

De acordo com as análises da ESET, durante esses dias, o site oficial do Ammyy Admin foi comprometido com a implementação do download de uma versão maliciosa do programa legítimo. O mais interessante é que os cibercriminosos tentaram esconder a atividade maliciosa usando a marca da atual Copa do Mundo da FIFA que acontece na Rússia.

A história parece se repetir, já que em outubro de 2015, o site que oferece a versão gratuita do software Ammyy Admin começou a propagar um código malicioso ligado ao grupo de cibercriminosos Buhtrap. Agora ocorre o mesmo, já que o site foi comprometido novamente. Desta vez, o problema foi detectado por pesquisadores da ESET por volta da meia-noite de 13 de junho e permaneceu até a manhã do dia 14.

Software de administração remota continha o bot Kasidet

Os usuários que baixaram o software do site ammyy.com durante as datas mencionadas acima obtiveram mais do que o programa, uma vez que o download também incluía um malware bancário e um trojan detectado pela ESET como Win32/Kasidet. É por isso que a ESET recomenda a todas as possíveis vítimas que tomem as precauções necessárias e que usem uma solução de segurança confiável para verificar e limpar os dispositivos.

O Win32/Kasidet é um bot que é vendido no mercado negro e é usado ativamente por vários grupos de cibercriminosos. A estrutura detectada no site ammyy.com durante os últimos 13 e 14 de junho tinha dois objetivos principais:

#1 Roubar arquivos que pudessem conter senhas ou acessar dados de contas e/ou carteiras de criptomoedas das vítimas. Isso poderia ser obtido ao procurar nomes de arquivos que correspondessem às seguintes características para, em seguida, enviá-los ao servidor C&C.

• bitcoin
• pass.txt
• passwords.txt
• wallet.dat

#2 Relatando processos cujos nomes incluíssem qualquer um dos seguintes caracteres:

• armoryqt
• bitcoin
• exodus
• electrum
• jaxx
• keepass
• kitty
• mstsc
• multibit
• putty
• radmin
• vsphere
• winscp
• xshell

A URL do servidor de comando e controle hxxp://fifa2018start[.]info/panel/tasks.php também é outro ponto interessante, considerando que os cibercriminosos usaram a Copa do Mundo da FIFA para esconder a rede maliciosa.

Os pesquisadores da ESET identificaram várias semelhanças com o ataque de 2015. Naquela época, os criminosos se aproveitaram do ammyy.com para propagar um grande número de famílias de malware. No caso de 2018, os sistemas da ESET detectaram apenas o Win32/Kasidet, no entanto, a ofuscação da carga útil mudou três vezes, provavelmente para evitar ser detectado pelas soluções de segurança.

Outra semelhança entre o incidente de 2015 e o caso de 2018 foi que o nome do arquivo que continha o payload era idêntico: Ammyy_Service.exe. O instalador baixado AA_v3.exe poderia parecer legítimo em um primeiro momento. No entanto, os cibercriminosos usaram o SmartInstaller e criaram um novo binário que droppea o arquivo Ammyy_Service.exe antes de instalar o software Ammyy Admin.

Conclusão

Como o site foi comprometido assim como ocorreu no passado, a ESET recomenda que os usuários executem uma solução de segurança confiável e atualizada cada vez que tentarem baixar o programa a partir desta página.

Embora seja uma ferramenta legítima, não é a primeira vez que os golpistas se aproveitam do Ammyy Admin. Como consequência, vários produtos de segurança, incluindo os da ESET, o detectam como um Aplicativo Potencialmente Inseguro. No entanto, o API continua sendo amplamente utilizado em todo o mundo, especialmente na Rússia.

Apesar de termos comunicado o caso para a Ammyy, achamos também importante alertar os usuários sobre o incidente de segurança, uma vez que é amplamente utilizado em todo o mundo.

Um agradecimento especial a Jakub Souček.

IoCs