Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО
«Лаборатория Касперского» выяснили, что известный троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.
Хакеры использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.
По словам специалистов, банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.
Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные.
1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, занимавшийся поиском персональной информации пользователей. Как и во всех предыдущих случаях, Ammyy Group удалила зловред со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.
Автор: Анна Воробьева
Чет падазритилна...
Столько раз в одну и ту же херню "злостные хакеры" троянца засовывают ....
Может это их официальная политика?)
Звиздец, а я все ругал хром, который не давал скачать эмми. Все не понимал в чем дело, заранее говорил юзверям чтоб открывали ссылку не через хром. При этом две конторы, в которых я работаю официально пользуют именно эмми! В обеих конторах это бухгалтерии... завтра буду проводить ликбез, как после появления криптолокеров через скрипты офисных документов (вырубил исполнение принудительно на всех компах в сетке).
программка сильно *легче* чем тот же тимвьювер.
у меня каспер не давал его скачать еще с середины 15 года. видимо тогда уже были известны какие-то подробности.
Я знал, что Ammy - жулики! :))) Symantec Endpoint protection меня предупреждал и категорически блокировал их сайт и программу.
Где ссылка на пруф?