امنیت Ammyy Admin در هاله ای از ابهام

امنیت Ammyy Admin، در هاله ای از ابهام

به تازگی مهاجمین سایبری، وب‌سایت رسمی Ammyy Admin که یک نرم افزار Remote Desktop می باشد را با تهدیدات جدی روبرو نموده‌ و باعث شده‌اند که به جای Ammyy Admin اصلی، نسخه‌ی مخربی از Ammyy Admin مورد استفاده قرار بگیرد و نکته جالب این است که آن‌ها برای پوشش فعالیت مخرب خود از جام جهانی فوتبال استفاده نمودند.

به نظر می‌رسد که در تاریخ سیزده‌ام یا چهاردهم ژوئن، فایل آلوده‌ای در سایت اصلی مورد استفاده قرار می‌گرفته ، این حادثه مشابه حوادث اکتبر 2015 است که Ammyy Admin با کد‌های مخرب فعالیت نمود و آن حمله به گروه جرایم سایبری Buhtrap مرتبط گردید.

این مشکل توسط پژوهشگران امنیتی ESET در روز سیزدهم ژوئن کشف شد و بدین ترتیب Ammyy نیز از مشکل مطلع شد.

در واقع کاربران Ammyy Admin و Kasidet Bot که در روز‌های سیزدهم و چهاردهم جوئن، Ammyy Admin را از سایت این شرکت دانلود کرده‌اند، یک تروجان و بدافزار بانکی چندکاربردی نیز دانلود نموده‌اند که Kasidet Bot نام داشت.

Kasidet Bot که در انجمن‌های اینترنتی مربوط به مبحث هک به طور زیرزمینی فروخته می‌شده، بین سیزدهم و چهاردهم جوئن، در Ammyy[.]com شناسایی گشت.

این Bot توانایی دزدیدن فایل‌هایی را دارد که حاوی رمزعبور و داده‌های مربوط به کیف‌پول‌های Cryptocurrency Wallet و حساب‌های کاربران می‌باشد. این Bot به دنبال فایل‌های bitcoin، pass.txt و wallet.dat می‌گردد و اگر فایل‌هایی مطابق با این انواع فایل را پیدا کند، آن‌ها را به سرور C&C می‌فرستند.

مهاجمان از از دامین fifa2018start[.]info/panel/tasks[.]php که مبتنی بر جام جهانی فوتبال است استفاده کردند تا ارتباطات شبکه‌ای مخرب خود را مخفی نمایند.

پژوهشگران ESET بر این باوراند که این حمله به حمله‌ی سال 2015 مرتبط است که در آن مهاجمین از ammyy.com سوءاستفاده کردند تا خانواده‌های بدافزار متعددی را تجهیز نموده و تقریبا به طور روزانه، آن‌ها را تغییر می‌دادند. در مورد سال 2018، سیستم‌های ESET تنها Win32/Kasidet را شناسایی کردند، بااین‌حال لود بار این مورد سه مرتبه تغییر نمود، که احتمالا دلیلش ممانعت از شناسایی شدن توسط محصولات امنیتی بوده است.