Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО

Троянец Lurk, похитивший 3 млрд рублей, содержался в легитимном ПО Админ, Удаленный доступ, Информационная безопасность, Касперский

«Лаборатория Касперского» выяснили, что известный троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.



Хакеры использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.



По словам специалистов, банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.



Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные.



1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, занимавшийся поиском персональной информации пользователей. Как и во всех предыдущих случаях, Ammyy Group удалила зловред со своего сайта. В настоящее время следов вредоносного ПО на сайте ammyy.com не обнаружено.


Автор: Анна Воробьева

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

21
Автор поста оценил этот комментарий

Чет падазритилна...

Столько раз в одну и ту же херню "злостные хакеры" троянца засовывают ....

Может это их официальная политика?)

раскрыть ветку
22
Автор поста оценил этот комментарий

Звиздец, а я все ругал хром, который не давал скачать эмми. Все не понимал в чем дело, заранее говорил юзверям чтоб открывали ссылку не через хром. При этом две конторы, в которых  я работаю официально пользуют именно эмми! В обеих конторах это бухгалтерии... завтра буду проводить ликбез, как после появления криптолокеров через скрипты офисных документов (вырубил исполнение принудительно на всех компах в сетке).

раскрыть ветку
38
Автор поста оценил этот комментарий

программка сильно *легче* чем тот же тимвьювер.

у меня каспер не давал его скачать еще с середины 15 года. видимо тогда уже были известны какие-то подробности.

раскрыть ветку
4
Автор поста оценил этот комментарий

Я знал, что Ammy - жулики! :))) Symantec Endpoint protection меня предупреждал и категорически блокировал их сайт и программу.

8
Автор поста оценил этот комментарий

Где ссылка на пруф?

раскрыть ветку