Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО

Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО Админ, Удаленный доступ, Информационная безопасность, Касперский

«Лаборатория Касперского» выяснили, что известный троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.



Хакеры использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.



По словам специалистов, банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.



Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные.



1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, занимавшийся поиском персональной информации пользователей. Как и во всех предыдущих случаях, Ammyy Group удалила зловред со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.


Автор: Анна Воробьева

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Вы смотрите срез комментариев. Показать все
38
Автор поста оценил этот комментарий

программка сильно *легче* чем тот же тимвьювер.

у меня каспер не давал его скачать еще с середины 15 года. видимо тогда уже были известны какие-то подробности.

раскрыть ветку (49)
33
Автор поста оценил этот комментарий

Его на сколько помню даже Chrome не давал скачивать ни в какую

раскрыть ветку (10)
14
Автор поста оценил этот комментарий

за ослик в легкую широкая душа рубаха парень

раскрыть ветку (9)
34
Автор поста оценил этот комментарий

"зато IE в лёгкую - широкая душа, рубаха-парень"

раскрыть ветку (2)
Автор поста оценил этот комментарий

Теперь понял, знака препинания не хватало)

раскрыть ветку (1)
Автор поста оценил этот комментарий

главное что " то" в зато не хватало

4
Автор поста оценил этот комментарий

Что ты сейчас написал?

раскрыть ветку (5)
10
Автор поста оценил этот комментарий

"а ослик в легкую, широкая душа рубаха парень"

широкая душа рубаха парень - выражение обозначающее безотказность

3
DELETED
Автор поста оценил этот комментарий

Я знаю где ноги, смотрю, светит ярко, тут она меня спрашивает: "Где я?", а я смотрю почему так интересно, в общем весна прошла.

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
5
Автор поста оценил этот комментарий

Восемь асфальт все хороши

2
Автор поста оценил этот комментарий

собака путь машина быстро банан впереди

Автор поста оценил этот комментарий

Насколько я знаю, Ammyy admin не давали скачать по тому, что эта программа удалённого доступа позволяет делать этот доступ без информирования пользователя, который непосредственно работает за удалённой машиной. Также на пикабу всплывал пост "Как с помощью Ammyy admin следить за компьютером подруги/соседки/тни". Тот пост сразу выпилили.

раскрыть ветку (3)
Автор поста оценил этот комментарий

а что если я скажу, что могу так делать любой программой удаленного управления?

тот же тимвьювер: все что нужно-привязать компьютер к учетке, дальше он есть в списке добавленых и подключается просто по двойному щелчку мыши.

так что нет, не по этому

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

На сколько я знаю тимвивер не делает этого скрытно, то есть юзер видит что к его компу подключились...

1
Автор поста оценил этот комментарий

Тим вьювер покажет на машине жертвы в нижнем правом углу ID и имя подключившегося пользователя

4
Автор поста оценил этот комментарий

Для корпоротивного пользования используем AnyDesk. Бесплатно, просто, легко. Тогда как стоимость Тимвивера около 200 000. Зачем платить больше, когда есть бесплатный софт)

раскрыть ветку (33)
4
Автор поста оценил этот комментарий
Что-то вы лукавите и вводите народ в заблуждение. Этот ЭниДеск на офф сайте для коммерческого использования платный. Бесплатная версия не для коммерции, единовременная сессия только - 1, количество рабочих мест - 1. Крайне урезанная и малофункциональная. Тот же тимвивер самая дешевая лицензия за 27000 дает неограниченное количество обслуживаемых компьютеров, 200 компьютеров для бесконтрольного доступа, что безумно удобно для серверов, важных узловых компьютеров и тд. Правда одновременных сессии только 1. Но при этом рабочих места - 3. Активируешь 3 ноута и уже 3 человека могут аутсорсить. Отбилась цена тима за пол месяца.
1
Автор поста оценил этот комментарий

@Roskomnadzor, у нас тут злостный нарушитель закона!  )

Иллюстрация к комментарию
раскрыть ветку (3)
Автор поста оценил этот комментарий

Я сдаюсь. Вот мой адрес 192.168.0.1

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

зачем вы обманываете?

127.0.0.1

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Мою обман раскрыт = (

1
Автор поста оценил этот комментарий

как это бесплатно? он же платный

ещё комментарии
Автор поста оценил этот комментарий

ТимВьювер купили (1 "администраторский комп" - около 20 т.р. пожизненно). Начальнику понадобилось второе одновременное подключение - ещё плюс 14 т.р. Для организаций, куда требуется быстрая поддержка и чьи ПК территориально удалены - это копейки.

ещё комментарии
Автор поста оценил этот комментарий

А с этого момента по подробней ) про AnyDesk. Гугл само собой, но хотелось бы еще пару слов от того кто пользуется)

раскрыть ветку (2)
Автор поста оценил этот комментарий

Да что там говорить, там всё просто и удобно на самом деле. Устанавливаете и пользуетесь)

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Лицензии непонятно описаны. Для организаций free версия и 1 подключение?

ещё комментарии
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку