Троянец Lurk загружался на компьютеры вместе с легитимным ПО

В ходе исследования вредоносного программного обеспечения Lurk в начале февраля 2016 г. «Лаборатория Касперского» обнаружила интересную особенность в распространении этого банковского троянца. Согласно их данным, атакованные Lurk пользователи также устанавливали на своем ПК программу удаленного администрирования Ammyy Admin. Дальнейшее исследование подтвердило — официальный сайт Ammyy Admin, скорее всего, был скомпрометирован, троянец загружался на компьютеры пользователей вместе с легитимным ПО.

Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin, используемой для удаленного доступа к рабочему столу, не имел цифровой подписи и представлял собой NSIS-архив. После запуска этого архива во временном каталоге создавались и запускались на исполнение два файла: aa_v3.exe — установщик утилиты администрирования Ammyy Admin, подписанный цифровой подписью и ammyysvc.exe — вредоносная программа-шпион Trojan-Spy.Win32.Lurk.

То есть, по сути загружаемый с официального сайта файл-установщик Ammyy Admin представляет собой троянец-дроппер, предназначенный для скрытной установки в системе вредоносной программы, в то время как внешне процесс выглядит, как установка легитимного ПО. Раздача дроппера совместно с легитимной программой шла постоянно (с небольшими перерывами), по нескольку часов в будние дни.

Для успешной раздачи зловреда злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при запросе на скачивание пользователям выдавался вредоносный дроппер.

В начале апреля злоумышленники начали распространять немного модифицированный дроппер. В момент запуска он с помощью функции GetComputerNameExA проверял, является ли заражаемый ПК частью корпоративной сети и, если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk. Это свидетельствует о том, что злоумышленники «охотились» именно за корпоративными рабочими станциями и серверами.

Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта начала распространятся вредоносная программа Trojan-PSW.Win32.Fareit, также предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим «место» в трояне-дроппере для распространения с ammyy.com.

Мы сообщили компании Ammy Group о новой атаке и загрузке вредоносного ПО, осуществляемого с домена ammyy.com. На момент публикации оригинального поста ответ от компании не был получен.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365