Исследование, проведённое «Лабораторией Касперского», показало, что для распространения нашумевшего трояна Lurk злоумышленники использовали не только программы-эксплойты и бреши внутри корпоративных сетей различных организаций, но и легитимное программное обеспечение (ПО).
Напомним, что именно с помощью Lurk киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков. Злоумышленники действовали в течение пяти лет, и лишь недавно группировку удалось ликвидировать.
С целью минимизировать риск детектирования трояна антивирусными программами киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, серверы атакованных IT-организаций и другие приёмы. Как теперь выясняется, зловред также попадал на компьютеры жертв вместе с легитимной программой удалённого администрирования Ammyy Admin.
Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе.
Выбор преступников на программу удалённого администрирования пал не случайно. Дело в том, что установка подобных продуктов часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.
Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта ammyy.com начала распространяться вредоносная программа Trojan-PSW.Win32.Fareit, предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом ресурса Ammyy, за определённую плату предлагали всем желающим «место» в трояне-дроппере для распространения с ammyy.com.
Источник: