По данным «Лаборатории Касперского», одним из способов распространения банковского Windows-троянца Lurk, затихшего после ареста участников стоящей за ним российской группы, являлись загрузки со взломанных и зараженных ресурсов. Дальнейшее исследование подтвердило, что такие атаки, в частности, затронули официальный сайт разработчика утилиты удаленного администрирования Ammyy Admin.

Как показал анализ, раздаваемый с сайта Ammyy установщик не был подписан и представлял собой NSIS-архив. При активации он запускал на исполнение два файла: легитимный aa_v3.exe (удостоверенный подписью установщик Ammyy Admin) и вредоносный ammyysvc.exe — на тот момент это был Lurk. Чтобы повысить эффективность раздачи вредоносного дроппера, злоумышленники добавили постороннюю функцию в PHP-скрипт на сервере Ammyy Group.

Впоследствии (примерно к началу апреля) этот дроппер был модифицирован, с тем чтобы атаковать лишь корпоративных пользователей. Принадлежность зараженного ПК к корпоративной сети зловред проверял, используя функцию GetComputerNameExA, и при положительном результате запускал не только легитимный инсталлятор, но и Lurk.

Исследователи отмечают, что использование NSIS-файлов для скрытой установки зловредов в тандеме с легитимными программами — не редкость. Так, в прошлом году эксперты ESET обнаружили аналогичный трюк в ходе спам-кампании, получившей кодовое наименование «Операция Buhtrap». Однако в данном случае речь идет о способе распространения, известном как атака по методу «хищник у водопоя» (watering hole).

«Отметим, подобная атака (watering hole) является очень эффективной, — пишет в блоге Securelist Василий Бердников, главный тестировщик антивирусных продуктов «Лаборатории Касперского». — И вдвойне опасна, когда речь идет об атаке на пользователей программы удаленного администрирования: администраторы, которые используют подобное ПО, могут предположить, что обнаружение антивирусом зловреда (или вредоносной активности) является ложным срабатыванием именно на утилиту удаленного администрирования, и в результате могут разрешить обнаруженное опасное действие. Более того, они могут отключить защиту или добавить вредоносную программу в список исключений слежения и проверки, тем самым позволив ей заразить ПК».

Добавим, что использование легитимных и общедоступных программ для распространения вредоносного ПО позволяет злоумышленникам сократить расходы. С недавних пор такая практика, по наблюдениям «Лаборатории», стала превращаться в опасный тренд.

Обнаружив, что сайт Ammyy Group раздает зловредов, эксперты сразу сообщили об этом в компанию. Сайт был немедленно проверен, а вредоносный код удален. Однако в течение февраля исследователям пришлось трижды сигналить Ammyy о злоупотреблении; каждый раз, как свидетельствует Бердников, «проблема устранялась, хотя и временно». После арестов в связи с деятельностью Lurk содержимое вредоносного дроппера изменилось: вместо банкера он начал устанавливать PSW-троянца Fareit. Исследователи полагают, что взломщики Ammyy, скорее всего, сдают эту watering hole-платформу внаем.

Ammyy Group уже извещена о новой атаке, но на момент публикации записи на Securelist ответ еще не был получен.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры