ESET нашла троян в программе для удаленного доступа к компьютеру

Компания ESET предупреждает пользователей о компрометации официального сайта Ammyy Admin — популярной в России программы для удаленного доступа к компьютеру. Специалисты сообщили, что 13 — 14 июня злоумышленники использовали софт для распространения вредоносного ПО под видом легитимного софта. Пользователи, которые скачали Ammyy Admin 13 и 14 июня, получили вместе с программой многоцелевой троян Win32/Kasidet. Этот вирус поддерживает две функции: кража файлов, содержащих пароли и другие данные авторизации криптовалютных кошельков и аккаунтов, а также поиск процессов по заданным именам. Судя по использованию сочетания fifa2018start в доменном имени управляющего сервера, злоумышленники решили использовать для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.

В ESET отметили, что осенью 2015 года ammyy.com уже использовался для распространения вредоносного ПО. Специалисты компании выявили общие черты атаки 2015 года и нынешней. В прошлом злоумышленники распространяли через ammyy.com несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году раздается один троян, однако в трех случаях используется запутывание кода, позволяющая избежать обнаружения. Второе сходство – идентичное имя вредоносного исполняемого файла – Ammyy_Service.exe.

Специалисты ESET рекомендуют пользователям устанавливать комплексное антивирусное ПО до загрузки Ammyy Admin.