Stando alle analisi di ESET, il sito ufficiale ammyy.com sarebbe stato attaccato per proporre in download una versione infetta del programma di accesso remoto. La caratteristica bizzarra della minaccia è che gli hacker hanno cercato di nascondere la propria identità sfruttando l’attuale brand della FIFA World Cup.
Attualmente sembra che il problema si presenti solo per chi ha effettuato il download della versione infetta nei giorni 13 e 14 giugno. Ci troviamo comunque di fronte a un problema già presentatosi in passato. Infatti nell’ottobre 2015 il sito di Ammyy Admin venne attaccato dal gruppo di cyber criminali Buhtrap, con modalità simili.
Accesso remoto con botnet Kasidet
I download effettuati dal sito ufficiale nel periodo di tempo indicato, hanno provveduto all’installazione sui dispositivi degli utenti di trojan e banking malware, identificati da ESET come win32/Kasidet.
Win32/Kasidet è un bot molto diffuso sul “mercato nero”, e si sviluppa in due piani di azione. In primo luogo, vengono sottratti tutti i file contenenti password di accesso a wallet di criptovalute e account delle vittime. Questa operazione viene effettuata ricercando i file con le seguenti parole chiave:
- Bitcoin;
- Pass.txt;
- Passwords.txt;
- Wallet.dat.
In seconda battuta vengono segnalati tutti i processi che presentano i seguenti termini:
- Armoryqt;
- Bitcoin;
- Exodus;
- Electrum;
- Jaxx;
- Keepass;
- Kitty;
- Mstsc;
- Multibit;
- Putty;
- Radmin;
- Vsphere;
- Winscp;
- Xshell.
Come già accennato, un ruolo decisivo quanto bizzarro è svolto dalla URL del server di controllo, ovvero “fifa2018start[.]info/panel/tasks.php”. Tale URL ha il compito di mascherare le connessioni tra il bot e il server.
Uno sguardo al passato
Rispetto all’attacco compiuto nel 2015, in cui gli hacker hanno diffuso una serie di malware cambiati su base giornaliera, quello attuale modifica costantemente il tempo di payload evitando le scansioni degli antivirus.
Una similarità con il 2015 risiede nell’eseguibile contenente il payload, che anche in questo caso è stato nominato Ammyy_Service.exe. L’installer AA_v3.exe può sembrare innocuo, ma con l’aiuto di Smartinstaller gli hacker sono stati in grado di dare priorità al primo eseguibile, che viene scaricato prima di Ammyy Admin.
Il nostro consiglio
Considerando la frequenza e la facilità con cui il sito di Ammyy Admin viene compromesso, il consiglio è quello di utilizzare servizi di accesso remoto alternativi.
Se proprio non potete fare a meno di Ammyy, è sempre bene assicurarsi di utilizzare la versione più aggiornata dell’antivirus prima di scaricare i file dal sito.
Di certo qualcuno penserà che con soli due giorni di attività il malware sia una minaccia irrisoria. Ma il programma è largamente diffuso, soprattutto tra le aziende, e questo potrebbe rappresentare un rischio importante.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.
