התוכנה לחיבור מרחוק AMMYY Admin שוב שימשה להפצה של נוזקות
התוכנה AMMYY Admin שמשמשת לחיבור מרחוק עדיין פופולרית בישראל ונמצאת בשימוש נרחב אצל אינטגרטורים ומנהלי רשתות.
כפי שדיווחנו כבר מספר פעמים בעבר, האתר הרשמי של AMMYY Admin נפרץ שוב, והתווסף לקליינט הרשמי של התוכנה קוד זדוני.
המקרה הראשון בו נפרץ אתר הבית של AMMYY Admin התרחש באוקטובר 2015, ומאז התרחשו מספר מקרים שונים, כאשר בכל התקפה מתווסף קוד זדוני של טרויאנים או נוזקות כופר.
לאחר תקופה שקטה יחסית, גילו חוקרי ESET שבמהלך ה 13-14 ליוני בכל הורדה של התוכנה מהאתר היה כלול גם טרויאני שיכול לשמש למטרות שונות, ובמקרה זה יועד לגניבת פרטי חשבונות בנק.
הטרויאני שמזוהה ע"י מוצרי ESET בתור Win32/Kasidet תוכנת לגנוב נתונים שמאוכסנים בקבצים עם השמות:
• Bitcoin
• Pass.txt
• Passwords.txt
• Wallet.dat
בנוסף הוא מדווח על תהליכים פעילים במערכת שמכילים את התווים הבאים:
• Armoryqt
• Bitcoin
• Exodus
• Electrum
• Jaxx
• Keepass
• Kitty
• Mstsc
• Multibit
• Putty
• Radmin
• Vsphere
• Winscp
• Xshell
גם הכתובת של שרת התקיפה שאליו נשלחו הנתונים תוכננה כך שתיראה תמימה ומשתמשת במונדיאל בתור הסוואה לתקשורות שיוצאות אליו:
hxxp://fifa2018start[.]info/panel/tasks.php
ריבוי המקרים של פריצה לאתר הרשמי של התוכנה, והשימוש הנרחב שלה בקרב האקרים ועבריינים הם הגורמים שהניעו אותנו להגדיר את הקליינט של AMMYY Admin בתור Potentially Unsafe Application כבר לפני 3 שנים, ואנחנו חוזרים על ההמלצה שלנו שלא להשתמש בה.
פרטים נוספים ומזהים של הטרויאני באתר העולמי שלנו