Скрыть приветствие

[?]

А ещё есть бесплатный VPN, без авторизации, логов и ограничений:

Скрыть объявление
Подписывайся на наш канал в Телеграм!
Каждый день форум постит туда самую популярную тему! Последняя информация о работе форума и новости сначала появляются там!
А ты подписался?
Скрыть объявление
Создай своё зеркало девсайда!
Привяжи к форуму свой домен, раздай его друзьям и ты будешь иметь доступ к форуму даже если нас заблокирует роскомнадзор!
А ты обезопасился?

 Сайт Ammyy Admin был скомпрометирован и распространял малварь

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 12 июл 2018.

От News_Bot 12 июл 2018 в 21:09
  1. News_Bot

    News_Bot Бот новостей и статей
    Бот форума

    Регистрация:
    29 сен 2016
    Сообщения:
    2.862
    Симпатии:
    28
    Розыгрышей:
    0
    Отдано:
    1 ГБ
    Скачано:
    0 байт
    Торрент-рейтинг:
    -
    Сайт Ammyy Admin был скомпрометирован и распространял малварь
    [​IMG]


    Специалисты ESET предупредили, что сайт Ammyy Admin, популярного в некоторых странах решения для удаленного администрирования, вновь подвергся взлому. 13 и 14 июня 2018 года под видом легитимной программы через сайт распространялась малварь Kasidet. Разработчиков Ammyy Admin уже уведомили о проблеме.

    Исследователи напомнили, что в 2015 году сайт, предлагающий бесплатную версию Ammyy Adminуже, уже подвергался компрометации и использовался для распространения вредоносного ПО. Прошлую атаку специалисты связали с деятельностью известной хакерской группы Buhtrap.

    На этот раз пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который обнаруживается продуктами ESET как Win32/Kasidet. Kasidet – известный бот, который продается в даркнете и активно используется разными хак-группами. Сборка, обнаруженная на сайте ammyy.com, имела две основных функции. Первый была кража файлов, которые могут содержать пароли и другие учетные данные для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на управляющий сервер:
    • bitcoin;
    • txt;
    • txt;
    • dat.

    Второй функцией был поиск процессов по заданным именам:
    • armoryqt ;
    • bitcoin;
    • exodus;
    • electrum;
    • jaxx;
    • keepass;
    • kitty;
    • mstsc;
    • multibit;
    • putty;
    • radmin;
    • vsphere;
    • winscp;
    • xshell.

    Также исследователей заинтересовал URL-адрес управляющего сервера преступников: hxxp: // fifa2018start [.] Info / panel / tasks.php. Специалисты пишут, что атакующие, по всей видимости, решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

    Специалисты ESET пишут, что им удалось обнаружить сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году через взломанный сайт распространялся только Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

    Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку (Ammyy_Service.exe). Загруженный установщик AA_v3.exe мог выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывал Ammyy_Service.exe до установки Ammyy Admin.

    Эксперты отмечают, что Ammyy Admin – это легитимный инструмент, однако им нередко пользуются злоумышленники. В результате некоторые антивирусные продукты, включая решения ESET, детектируют его как потенциально нежелательное приложение. Впрочем, это не мешает софту по-прежнему широко использоваться в ряде стран, в частности, в России.
     

    Загрузка...

Комментарии

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 12 июл 2018.

  • Кто мы?

    2 разработчика которые решили помочь другим разработчикам в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно 1500 человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.
  • Приложения

  • Набираем команду!

    Мы набираем в нашу команду умных и амбициозных людей! Не важно в какой сфере Вы преуспели, Вы можете попасть в нашу команду и развивать с нами действительно достойный ресурс.

    Вступай!
Самая выгодная инвестиция - это инвестиция в своё образование. Для разумных инвесторов: активные складчины всегда находятся здесь
    1. В чате в данный момент нет никого.

    У Вас недостаточно прав для использование чата.

    В чате в данный момент нет никого. | Нажмите, чтобы раскрыть
    Чат [0]