Ammyy Admin adlı ücretsiz uzaktan yönetim aracını ammyy.com resmi web sitesinden 13 Haziran veya 14 Haziran tarihlerinde indiren kullanıcılar dikkat!
ESETin analizine göre, söz konusu zaman aralığı içinde, web sitesi, bu yasal yazılımın kötü amaçlı yazılım entegre edilmiş sürümünü yaymak üzere hacklenmiştir. Hackerlar, olaya ilgi çekmek için devam eden FIFA Dünya Kupası'nı kullandılar.
Bu neredeyse zamanda yolculuk etmiş gibi hissettiriyor insana. Ekim 2015'te, Ammyy Admin yazılımının ücretsiz bir sürümünü sunan web sitesi, siber suç örgütü Buhtrap'a bağlı kötü amaçlı yazılımı barındırmaya başlamıştı. Şimdi tarih tekerrür ediyor ve site tekrar ele geçiyor gibi görünüyor. Sorun ilk olarak ESET araştırmacıları tarafından 13 Haziran gecesi gece yarısından sonra tespit edildi ve 14 Haziran sabahına kadar devam etti.
Ayrıca Kasides Bot ile uzaktan kontrol ediliyor
Ammyy.com'dan, belirtilen zaman diliminde yazılımı indiren kullanıcılar, ücretsiz olarak verilen yazılımdan daha fazlasını edindiler - paketin bir parçası da, ESET tarafından Win32 / Kasidet olarak algılanan çok amaçlı bir Truva atı ve bankacılık kötü amaçlı yazılımıydı. ESET, tüm potansiyel mağdurlara önleyici tedbirler almasını ve cihazlarını taramak ve temizlemek için güvenilir bir güvenlik ürünü kullanmasını tavsiye etmekte.
Win32 / Kasidet, yeraltı suç pazarlarında satılan ve çeşitli siber suçlu gruplar tarafından aktif olarak kullanılan bir bottur. Ammyy.com sitesinde 13 ve 14 Haziran 2018'de tespit edilen yapı iki ana hedefe sahipti:
1. Şifre içerebilecek dosyaların çalınması ya da kripto-para birimi cüzdanlarına ve kurbanların hesaplarına erişim. Bu, aşağıdaki belirteçlerle eşleşen dosya adlarını arayarak ve bunları Komuta & Kontrol (C&C) sunucusuna göndererek elde eder:
Kod:
bitcoin
pass.txt
passwords.txt
wallet.dat2. İsimleri aşağıdaki dizelerden birini içeren işlemleri raporlama süreçleri:
Kod:
armoryqt
bitcoin
exodus
electrum
jaxx
keepass
kitty
mstsc
multibit
putty
radmin
vsphere
winscp
xshellKomuta ve kontrol sunucusunun adresi
ayrıca ilgi çekiciydi, saldırganlar tarafından kendi zararlı yazılımlarının iletişim ağı olarak kullanılmak için FIFA Dünya Kupasının ardına saklanacak şekilde tasarlanmış.
ESET araştırmacıları, 2015 saldırısına birden fazla benzerlik tespit etti. O zamanlar saldırganlar, birçok kötü amaçlı yazılımı yaymak için ammyy.com'u kötüye kullanıyorlardı ve bunları neredeyse her gün değiştiriyorlardı. 2018 durumunda, ESET sistemleri yalnızca Win32 / Kasidet'i tespit etti, ancak güvenlik ürünlerinin algılanmasını önlemek için, zararlı kodların gizlenme yöntemleri üç durumda değiştildi.
Olaylar arasında bir başka benzerlik de, zararlı kodu içeren Ammyy_Service.exe dosyasının dosya adıyla aynıydı. İndirilen yükleyici AA_v3.exe ilk bakışta temiz görünebilir, ancak saldırganlar "SmartInstaller"'ı kullandı ve Ammyy Admin yazılımını yüklemeden önce Ammyy_Service.exe'yi çalıştıran yeni bir dosya oluşturdu.
Sonuç
Site geçmişte benzer şekilde ele geçirildiği için, ESET, kullanıcıların bu web sitesinden yazılım indirmeye çalıştıklarında güncel ve güncelleştirilmiş çok katmanlı bir zararlı yazılım önleme çözümü geliştirmelerini önermekte.
Ammyy Admin meşru bir araç olmasına rağmen, dolandırıcılar tarafından kötüye kullanılmayla alakalı uzun bir geçmişi vardır. Sonuç olarak, ESET'inki de dahil olmak üzere çeşitli güvenlik ürünleri, Ammyy Admin'i Potansiyel Olarak Güvensiz Uygulama olarak algılanır. Ancak, çoğunlukla Rusya'da yaygın olarak kullanılmaktadır.
Konuyla ilgili Ammyy'yi bilgilendirdik. Ammyy Admin yaygın olarak kullanıldığından, mevcut güvenlik sorunları hakkında kullanıcılarını uyarmanın önemli olduğunu düşünüyoruz.
Tehlike Göstergeleri (IoCs)
ESET algılanan imza
Win32/Kasidet
SHA-1 hash değerleri
Yükleyicinin değerleri
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Win32/Kasidet'in değerleri
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E
Komuta Kontrol (C&C) Sunucuları
fifa2018start[.]info
Moderatör tarafında düzenlendi:
