Злоумышленники взломали официальный сайт разработчика RDP-утилиты Ammyy Admin, чтобы использовать его для распространения зараженной трояном версии программы. Для маскировки своей деятельности мошенники использовали бренд проходящего в России чемпионата мира по футболу, так как их C&C-центр находился по адресу fifa2018start[.]Info/panel/tasks.php.

Обнаружившие проблему исследователи фирмы ESET заявили, что раздача зловреда происходила с полуночи 13 июня до утра 14 июня — в день, когда прошла церемония открытия турнира и первый матч.

Скачавшие Ammyy Admin пользователи вместе с легитимным софтом получили многоцелевой троян Kasidet. Бот, известный также как Neutrino, разработали в 2013 году для проведения DDoS-атак, однако пару лет назад его начали применять для кражи информации из браузеров и памяти PoS-систем.

Новая сборка заточена под две основные цели — хищение данных, в которых могут содержаться пароли для доступа к криптокошелькам, и поиск процессов по заданным именам:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

На сайте Ammyy Admin в числе клиентов указаны «Газпром Нефть», МВД РФ, «Почта России», сервис «Электронная Москва» и несколько российских банков. Портал компании уже неоднократно взламывали, поэтому некоторые антивирусные решения определяют утилиту как потенциально опасную.

Атака, аналогичная июньской, произошла в октябре 2015 года: тогда группировка Buhtrap распространяла скомпрометированный дистрибутив в течение недели. В апреле следующего года эксперты «Лаборатории Касперского» обнаружили, что инфицированная сборка устанавливала банковский троян Lurk.

Категории: Хакеры