به تازگی مهاجمین سایبری، وبسایت رسمی Ammyy Admin که یک نرم افزار Remote Desktop می باشد را با تهدیدات جدی روبرو نموده و باعث شدهاند که به جای Ammyy Admin اصلی، نسخهی مخربی از Ammyy Admin مورد استفاده قرار بگیرد و نکته جالب این است که آنها برای پوشش فعالیت مخرب خود از جام جهانی فوتبال استفاده نمودند.
به نظر میرسد که در تاریخ سیزدهام یا چهاردهم ژوئن، فایل آلودهای در سایت اصلی مورد استفاده قرار میگرفته ، این حادثه مشابه حوادث اکتبر 2015 است که Ammyy Admin با کدهای مخرب فعالیت نمود و آن حمله به گروه جرایم سایبری Buhtrap مرتبط گردید.
این مشکل توسط پژوهشگران امنیتی ESET در روز سیزدهم ژوئن کشف شد و بدین ترتیب Ammyy نیز از مشکل مطلع شد.
در واقع کاربران Ammyy Admin و Kasidet Bot که در روزهای سیزدهم و چهاردهم جوئن، Ammyy Admin را از سایت این شرکت دانلود کردهاند، یک تروجان و بدافزار بانکی چندکاربردی نیز دانلود نمودهاند که Kasidet Bot نام داشت.
Kasidet Bot که در انجمنهای اینترنتی مربوط به مبحث هک به طور زیرزمینی فروخته میشده، بین سیزدهم و چهاردهم جوئن، در Ammyy[.]com شناسایی گشت.
این Bot توانایی دزدیدن فایلهایی را دارد که حاوی رمزعبور و دادههای مربوط به کیفپولهای Cryptocurrency Wallet و حسابهای کاربران میباشد. این Bot به دنبال فایلهای bitcoin، pass.txt و wallet.dat میگردد و اگر فایلهایی مطابق با این انواع فایل را پیدا کند، آنها را به سرور C&C میفرستند.
مهاجمان از از دامین fifa2018start[.]info/panel/tasks[.]php که مبتنی بر جام جهانی فوتبال است استفاده کردند تا ارتباطات شبکهای مخرب خود را مخفی نمایند.
پژوهشگران ESET بر این باوراند که این حمله به حملهی سال 2015 مرتبط است که در آن مهاجمین از ammyy.com سوءاستفاده کردند تا خانوادههای بدافزار متعددی را تجهیز نموده و تقریبا به طور روزانه، آنها را تغییر میدادند. در مورد سال 2018، سیستمهای ESET تنها Win32/Kasidet را شناسایی کردند، بااینحال لود بار این مورد سه مرتبه تغییر نمود، که احتمالا دلیلش ممانعت از شناسایی شدن توسط محصولات امنیتی بوده است.