561

Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО

Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО Админ, Удаленный доступ, Информационная безопасность, Касперский

«Лаборатория Касперского» выяснили, что известный троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.



Хакеры использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.



По словам специалистов, банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.



Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные.



1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, занимавшийся поиском персональной информации пользователей. Как и во всех предыдущих случаях, Ammyy Group удалила зловред со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.


Автор: Анна Воробьева

Найдены возможные дубликаты

+38

программка сильно *легче* чем тот же тимвьювер.

у меня каспер не давал его скачать еще с середины 15 года. видимо тогда уже были известны какие-то подробности.

раскрыть ветку 49
+33

Его на сколько помню даже Chrome не давал скачивать ни в какую

раскрыть ветку 10
+5

за ослик в легкую широкая душа рубаха парень

раскрыть ветку 9
0

Насколько я знаю, Ammyy admin не давали скачать по тому, что эта программа удалённого доступа позволяет делать этот доступ без информирования пользователя, который непосредственно работает за удалённой машиной. Также на пикабу всплывал пост "Как с помощью Ammyy admin следить за компьютером подруги/соседки/тни". Тот пост сразу выпилили.

раскрыть ветку 3
-1

а что если я скажу, что могу так делать любой программой удаленного управления?

тот же тимвьювер: все что нужно-привязать компьютер к учетке, дальше он есть в списке добавленых и подключается просто по двойному щелчку мыши.

так что нет, не по этому

раскрыть ветку 2
-2

Для корпоротивного пользования используем AnyDesk. Бесплатно, просто, легко. Тогда как стоимость Тимвивера около 200 000. Зачем платить больше, когда есть бесплатный софт)

раскрыть ветку 33
+4
Что-то вы лукавите и вводите народ в заблуждение. Этот ЭниДеск на офф сайте для коммерческого использования платный. Бесплатная версия не для коммерции, единовременная сессия только - 1, количество рабочих мест - 1. Крайне урезанная и малофункциональная. Тот же тимвивер самая дешевая лицензия за 27000 дает неограниченное количество обслуживаемых компьютеров, 200 компьютеров для бесконтрольного доступа, что безумно удобно для серверов, важных узловых компьютеров и тд. Правда одновременных сессии только 1. Но при этом рабочих места - 3. Активируешь 3 ноута и уже 3 человека могут аутсорсить. Отбилась цена тима за пол месяца.
+1

@Roskomnadzor, у нас тут злостный нарушитель закона!  )

Иллюстрация к комментарию
раскрыть ветку 3
+1

как это бесплатно? он же платный

ещё комментарии
0

ТимВьювер купили (1 "администраторский комп" - около 20 т.р. пожизненно). Начальнику понадобилось второе одновременное подключение - ещё плюс 14 т.р. Для организаций, куда требуется быстрая поддержка и чьи ПК территориально удалены - это копейки.

ещё комментарии
0

А с этого момента по подробней ) про AnyDesk. Гугл само собой, но хотелось бы еще пару слов от того кто пользуется)

раскрыть ветку 2
-6
Для корпоративного пользования используем средства windows и не плохого админа и не жмемся на постоянные айпи и порты
раскрыть ветку 6
ещё комментарии
+22

Звиздец, а я все ругал хром, который не давал скачать эмми. Все не понимал в чем дело, заранее говорил юзверям чтоб открывали ссылку не через хром. При этом две конторы, в которых  я работаю официально пользуют именно эмми! В обеих конторах это бухгалтерии... завтра буду проводить ликбез, как после появления криптолокеров через скрипты офисных документов (вырубил исполнение принудительно на всех компах в сетке).

раскрыть ветку 2
0

"вырубил исполнение принудительно на всех компах в сетке"

просветите деревню?

раскрыть ветку 1
0

через каспера или доменой политикой

+21

Чет падазритилна...

Столько раз в одну и ту же херню "злостные хакеры" троянца засовывают ....

Может это их официальная политика?)

раскрыть ветку 1
+1
Мало им 3 лярдов было, что за идиоты
+4

Я знал, что Ammy - жулики! :))) Symantec Endpoint protection меня предупреждал и категорически блокировал их сайт и программу.

+6

Где ссылка на пруф?

раскрыть ветку 3
+4

@moderator, автор не желает добавить ссылку на пруф, помоги ему пожалуйста.

раскрыть ветку 2
+3
раскрыть ветку 1
+5

какой то дырявый сайт у Ammyy

хотя...как говориться "один раз случайность два раза совпадение три раза закономерность".

Сами наверное все подстроили.

раскрыть ветку 3
+6
говориться

тся

+2

Нет, нет! Всем известно что касперский сам пишет и распространяет вирусы чтобы антивирусы продавать. :) А так бы откуда столько вирусов было? :)

+1

Или конкуренты подкупили каспера и гугл.

+2

А как узнать, чиста ли та версия Ammy которой я пользуюсь? Есть отличия?

+1

@moskalik - а можно пруфы? Мне для работы надо, сделаю рассылку по офису, чтобы не пользовались этой хренью, а делать рассылку ссылаясь на пикабу - проблем огребу больше чем за потенциально сжизженные деньги ))))

раскрыть ветку 1
+1

пруфов бы

+1

Е мое только вчера ей пользовался.

раскрыть ветку 1
+1
Иллюстрация к комментарию
0

Не думаю, что это дерьмо Ammyy ещё кто-то будет качать после этого. Скомпрометировали они себя круто.

0

а чё Ammyy не смогла бэкдор на сайте закрыть или че? нада проверку в шатате провести у них

0
Проприетарщина такая проприетарщина. И да "ну и что что следят? Нам нечего скрывать, мы честные граждане"
0

А я за LiteManager. Удобно, недорого... (не реклама, если что)

раскрыть ветку 2
0

Даже антивирус, встроенный в десятку, клиентскую и серверную часть в ад загоняет. Спасибо, как-то не должно так быть.

раскрыть ветку 1
0

Ну не знаю, крутится на около 100 машин с каспером. Ничего подобного не наблюдал.

0
Подобный пост был уже, но все равно пипец, я не знаю в безопасности ли я)
0

оставлю якорь

много ей пользуюсь

раскрыть ветку 1
0
+1
-1

а чем троян от троянца отличается...всю жизнь было троян а тут троянец...пиздец

-1
А ведь у меня совсем недавно были даны на биржах после скачивания данной поги. Антивирус ничего не сказал...
-2

почему то на сайте касперского нет информации про ammy admin ниразу

раскрыть ветку 6
+1

Что блять??

Иллюстрация к комментарию
ещё комментарии
-2
Ну наконецто такое начало происходить. а то все смотрели на меня как на полоумного когда я говорил что тимвьювер и эмиадмин это хрень, которой не стоит доверять. Чем больше взломов, чем больше будет денег украдено, тем больше людей будут ввести себя как более ответственней с компьютерной техникой
раскрыть ветку 10
+4

Тимвьювер-то тут причем?

раскрыть ветку 8
+4
Да потому что это не опенсорс, который централизирован. и практически вся защита зависит не от ваших действий, а от действий компании. а её могут взломать в любой моменти об этом никто даже не сможет догатся как было с эми админ
Без исходников, что происходит с этой программой не понятно
раскрыть ветку 6
+1

Стоит подметить, не так давно у тимвивера увели базу пользователей с паролями. Пруфы на reddit и хабре.

+2

Когда я говорил что из удаленного доступа лучше всего подойти к пользователю и посмотреть без прог, а если сильно надо - стандартный RDP - меня заминусовали до ужаса, но неееет. кактус вкууусный, а я параноик.

-2
Где картинка с Киселем?
-4

а че это за дерьмопрога? если прога для удаленного доступа, то тимвивер намного лучше инфа сотка

раскрыть ветку 1
+3

Ты не знаешь что за прога, но ты утверждаешь что она дерьмо? Не надо так...

Как по мне, Ammy была очень удобна, жаль конечно что такая хрень у них творится, теперь задумаюсь, использовать ли её...

-4
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 22
+2

А как ты будешь юзать rdp за nat`ом?

раскрыть ветку 21
+2

Проброс, правила и т.д. Юзается без проблем вообще. По одному IP подключаюсь к 5 серверам по RDP без всяких проблем.

раскрыть ветку 17
0

dstnat, slp, upnp, vpn-ы отменили?

0
а если нет внешнего айпишника на рабочей станции и на станции куда надо подключится, всегда можно организовать тунель через третий сервер припомощи ssh тунеля
Кстати я в своеё время делал сборки называется ChunkVNC тот же тимвьювер только опен сорс
-4
Комментарий удален. Причина: данный аккаунт был удалён
-28

Когда слышишь слово "легитимный"

Иллюстрация к комментарию
раскрыть ветку 2
+4

астанавитесь

-4

Тебя уже отлегимитинили, ноготь шестидневный?

ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: