Портал Softpedia обнаружил проблему после получения тревожных комментариев от пользователей, которые сообщали о заражениях после использования сайта Ammyy Admin.
Вот что сообщали пользователи:
“Загрузил Ammyy Admin на два компьютера сегодня утром. Теперь файлы на обоих машинах зашифрованы. Я знаю точно, что проблема связана именно с сайтом Ammyy Admin, потому что это единственный сайт, который я посещал на одном из компьютеров. Электронных сообщений на данном компьютере нет.”
“Мой компьютер был тоже заражен из-за этого сайта. Только что завершил очистку компьютера от шифратора, держитесь подальше от данного сайта!”
После получения комментариев Softpedia сразу же связалась с Лоуренсом Абрамсом (Lawrence Abrams), представителем портала Bleeping Computer, и провела тестирование для анализа заражения и выяснения, что именно не так с сайтом.
Все тесты имели негативные результаты, но сегодня исследователь безопасности из команды MalwareHunterTeam сообщил Softpedia, что эти усилия были напрасны, потому сайт стал распространять чистый установщик, начиная с 14 сентября 21:00-23:00 по московскому времени.
Сайт Ammyy Admin был взломан как минимум 2 дня
Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.
Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.
Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.
Ammyy Admin распространял новейшую версию трояна-шифратора Cerber
Cerber, обнаруженный в начале года, имеет несколько веток, некоторые из которых были взломаны, после чего исследователи смогли создать дескрипторы, чтобы помочь жертвам трояна восстановить свои файлы.
Файл, распространяемый на сайте Ammyy Admin, содержал последнюю, третью версию, которая после шифрования файлов присваивает им расширение .cerber3. Эта версия еще не была взломана на момент написания статьи.
Исследователи из MalwareHunterTeam сообщили Softpedia, что они не уведомляли администратора сайта о взломе, и прекращение распространения угрозы могло быть остановлено автоматически. Либо киберпреступники поняли, что они раскрыты, либо решили подготовить новую версию установщика Ammyy, который будет распространять другие виды вредоносных программ.
Сайт Ammyy Admin успел распространить 6 видов вредоносных приложений
В прошлом ESET и Kaspersky публиковали отчеты о том, какие виды зловредов распространяет этот сайт. В разное время Ammyy Admin использовался для распространения банковских троянов Ranbyus, Lurk и Buhtrap, троянов CoreBot и Fareit, а также NetWire RAT.
ESET сообщал, что сайт Ammyy Admin распространял вредоносные программы в октябре и ноябре 2015 года, а Kaspersky упоминает аналогичные инциденты в феврале и июле 2016 года.
Softpedia запросила комментарии от команды Ammyy Admin. На момент написания статьи файлы сайта являются чистыми, но нет никаких гарантий, что ничего не изменится, учитывая богатое темное прошлое.
Некоторые пользователи считают, что частые взломы сайта являются чем-то большим, чем простым совпадением.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах