Киберпреступники использовали сайт Ammyy Admin для распространения вредоноса под видом легитимного софта.
Специалисты из компании ESET выяснили, что в середине июня пользователи, скачавшие с ресурса программу для удалённого доступа к компьютеру, получили вместе с ней многоцелевой троян Win32/Kasidet.
С его помощью хакеры выкрали файлы с паролями и другими данными авторизации криптовалютных кошельков и аккаунтов. Кроме того, троян искал процессы по заданным именам. Специалисты отметили, что злоумышленники замаскировали вредонос брендом чемпионата мира по футболу.
Не в первый раз
Три года назад сайт ammyy.com уже использовался для распространения вредоносных программ. Тогда ESET подозревала кибергруппу Buhtrap. Недавняя атака, как отметил разработчик, имеет схожие черты с прошлым инцидентом.
Хотя тогда хакеры прибегали к нескольким вредоносам, в случае с единственным трояном они вновь использовали обфускацию (запутывание) кода. Она помогает избежать обнаружения. Второе сходство — идентичное имя вредоносного исполняемого файла — Ammyy_Service.exe.
Ранее News.ru рассказал, что ESET обнаружила киберкомпанию, которая маскировала вредоносное ПО лицензионными сертификатами.