Зловред в подарок: распространение банковского троянца Lurk!

Зловред в подарок: распространение банковского троянца Lurk!

«Лаборатория Касперского» выяснила, что троянская программа Lurk, по средствам которой хакеры смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin. Воры использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.

По информации «Лаборатории Касперского», банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты «Лаборатории Касперского» проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.

Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные. Об этом инциденте «Лаборатория Касперского» также проинформировала Ammyy Group.

1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, «охотившийся» за персональной информацией пользователей. Как и во всех предыдущих случаях, после сообщения от «Лаборатории Касперского» Ammyy Group удалила зловреда со своего сайта.

В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено. «Использование легитимного ПО для распространения зловредов – крайне эффективная техника киберпреступников. Ведь выбирая программы от известных разработчиков и скачивая их из официальных источников, пользователи даже и не подумают, что вместе с нужным им ПО они в придачу могут получить какие-либо вредоносные вложения. Таким образом, злоумышленники гораздо легче получают доступ к интересующим их устройствам, а количество жертв при подобном способе заражения увеличивается в разы», – поясняет Василий Бердников, антивирусный аналитик «Лаборатории Касперского». Защитные продукты «Лаборатории Касперского» детектируют все обнаруженные на сайте ammyy.com зловреды как Trojan-Spy.Win32.Lurk и Trojan-PSW.Win32.Fareit и блокируют их. Эксперты компании рекомендуют организациям проверить свои корпоративные сети на наличие этих вредоносных программ.

 06.08.2016
 (130 просмотров)