Usuarios que entre el 13 y el 14 de junio hayan descargado del sitio oficial Ammyy Admin la herramienta gratuita para compartir escritorio de manera remota, ¡tengan cuidado!

De acuerdo a los análisis de ESET, durante esas fechas el sitio fue comprometido con la implantación para la descarga de una versión maliciosa del programa legítimo. Lo interesante del incidente fue que los atacantes intentaron esconder su actividad maliciosa utilizando la marca de la actual Copa Mundial de la FIFA que se disputa en Rusia.

La historia parece volver a repetirse, ya que en octubre de 2015, el sitio web que ofrece la versión gratuita del programa Ammyy Admin, comenzó a propagar un código malicioso vinculado con el grupo de cibercriminales Buhtrap. Ahora la historia parece volver a repetirse, ya que el sitio volvió a comprometerse. En esta oportunidad, el problema fue detectado por investigadores de ESET cerca de la medianoche del 13 de junio y afirman que se mantuvo hasta la mañana del día 14.

Herramienta de administración remota con la bot Kasidet adentro

Los usuarios que descargaron el software desde el sitio ammyy.com durante las fechas anteriormente señaladas, obtuvieron algo más que el programa, ya que la descarga incluía también un malware bancario y un troyano detectado por ESET como Win32/Kasidet. Es por eso que ESET recomienda a todas las potenciales víctimas que tomen las precauciones necesarias y que utilicen una solución de seguridad confiable para revisar y limpiar sus dispositivos.

Win32/Kasidet es una bot que se vende en el mercado negro y es utilizado de manera activa por varios grupos cibercriminales. La estructura detectada en el sitio de ammyy.com durante el pasado 13 y 14 de junio tenía dos objetivos principales:

  1. Robar archivos que puedan contener contraseñas o datos de acceso a cuentas y/o monederos de criptomonedas de las víctimas. Este objetivo lo consigue al buscar nombres de archivos que concuerden con las siguientes características para luego enviarlos al servidor C&C.
  • bitcoin
  • pass.txt
  • passwords.txt
  • wallet.dat

2. Reportando procesos cuyos nombres incluyan cualquiera de los siguientes caracteres:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

La URL del servidor de comando y control hxxp://fifa2018start[.]info/panel/tasks.php también era interesante, ya que los atacantes utilizaron la Copa Mundial de la FIFA como fachada para esconder su red de comunicación maliciosa.

Investigadores de ESET identificaron múltiples similitudes con el ataque de 2015. En aquel entonces, los atacantes se aprovecharon de ammyy.com para propagar una gran cantidad de familias de malware. En el caso de 2018, los sistemas de ESET detectaron solo Win32/Kasidet, sin embargo, la ofuscación del payload cambió en tres ocasiones, probablemente para evitar ser detectadas por soluciones de seguridad.

Otra similitud entre el incidente de 2015 con el de 2018 fue que el nombre del archivo que contenía el payload era idéntico: Ammyy_Service.exe. El instalador descargado AA_v3.exe podría parecer legítimo en un primer momento. Sin embargo, los atacantes usaron SmartInstaller y crearon un nuevo binario que droppea el archivo Ammyy_Service.exe antes de instalar el software Ammyy Admin.

Conclusión

Como el sitio fue comprometido de forma similar en el pasado, ESET recomienda a los usuarios ejecutar una solución de seguridad confiable y actualizada cada vez que intenten descargar el programa de esta página.

Si bien es una herramienta legítima, no es la primera vez que los estafadores se aprovechan de Ammyy Admin. Como consecuencia de ello, varios productos de seguridad, incluidos los de ESET, la detectan como una Aplicación Potencialmente Insegura. Sin embargo, continúa siendo muy utilizada a nivel mundial, sobre todo en Rusia.

Si bien notificamos a Ammyy sobre este problema, nos pareció importante advertir a sus usuarios sobre este incidente actual de seguridad dado que es muy utilizada a nivel mundial.

Un especial agradecimiento a Jakub Souček.

IoCs

ESET detection names
Win32/Kasidet
SHA-1 hashes
Installer
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Win32/Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E
C&C Servers
fifa2018start[.]info