Lurk: опасность там, где ее не ждешь

В ходе исследования вредоносного программного обеспечения Lurk в начале февраля 2016 года мы обнаружили интересную особенность в распространении этого банковского троянца. Согласно нашим данным, атакованные Lurk пользователи также устанавливали на своем ПК программу удаленного администрирования Ammyy Admin. Поначалу мы не придали эту факту большого значения, но дальнейшее исследование подтвердило – официальный сайт Ammyy Admin, скорее всего, был скомпрометирован, троянец загружался на компьютеры пользователей вместе с легитимным ПО от компании Ammyy Admin.

Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin, используемой для удаленного доступа к Рабочему столу, не имел цифровой подписи и представлял собой NSIS-архив. После запуска этого архива во временном каталоге создавались и запускались на исполнение два файла:

• aa_v3.exe – установщик утилиты администрирования Ammyy Admin, подписанный цифровой подписью,
• ammyysvc.exe – вредоносная программа-шпион Trojan-Spy.Win32.Lurk.

То есть, по сути загружаемый с официального сайта файл-установщик Ammyy Admin представляет собой троянец-дроппер, предназначенный для скрытной установки в системе вредоносной программы, в то время как внешне процесс выглядит, как установка легитимного ПО. Мы обнаружили, что раздача дроппера совместно с легитимной программой шла постоянно (с небольшими перерывами), по нескольку часов в будние дни.

В ноябре прошлого года о таком же способе распространения вредоносного ПО уже писали другие исследователи, но публикация не остановила раздачу троянца.

Так выглядит официальный сайт и кнопка для загрузки программы Ammyy Admin

Кстати говоря, некоторые браузеры, например, Mozilla Firefox на момент написания этого поста помечали сайт www.ammyy.com как потенциально опасный и предупреждали о наличии на нем нежелательных программ.

Предупреждающее окно Mozilla Firefox появляется при попытке открыть сайт www.ammyy.com

Для успешной раздачи зловреда злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при запросе на скачивание пользователям выдавался вредоносный дроппер.

В php-скрипт на веб-сервере добавлена посторонняя функция

В начале апреля злоумышленники начали распространять немного модифицированный дроппер. В момент запуска он с помощью функции GetComputerNameExA проверял, является ли заражаемый ПК частью корпоративной сети и, если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk. Это свидетельствует о том, что злоумышленники «охотились» именно за корпоративными рабочими станциями и серверами.

Отметим, что подобная атака (Watering Hole) является очень эффективной. И вдвойне опасна, когда речь идет об атаке на пользователей программы удаленного администрирования: администраторы, которые используют подобное ПО, могут предположить, что обнаружение антивирусом зловреда (или вредоносной активности) является ложным срабатыванием именно на утилиту удаленного администрирования и в результате могут разрешить обнаруженное опасное действие. Более того, они могут отключить защиту или добавить вредоносную программу в список исключений слежения и проверки, тем самым позволив ей заразить ПК. Отметим, что продукты «Лаборатории Касперского» действительно детектируют подобное легитимное ПО (утилиты удаленного администрирования), но исключительно как not-a-virus:RemoteAdmin – с желтым окном уведомлением об обнаружении. Это сделано с целью предупредить владельца ПК о запуске на нем программы удаленного доступа – такие программы без ведома жертвы использовались операторами Lurk и до сих пор используются злоумышленниками, распространяющими другие вредоносные программы, приспособленные для похищения денег.

Как только мы обнаружили, что сайт Ammyy Group был атакован и раздавал зловред, мы проинформировали об этом представителей компании. После этого, по сообщению компании Ammyy Group, сайт был проверен и посторонний код был удален. На протяжении февраля мы уведомили компанию о трех подобных случаях распространения вредоносного ПО и каждый раз проблема устранялась, хотя и временно.
Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта начала распространятся вредоносная программа Trojan-PSW.Win32.Fareit, так же предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим «место» в трояне-дроппере для распространения с ammyy.com.

Мы сообщили компании Ammy Group о новой атаке и загрузке вредоносного ПО, осуществляемого с домена ammyy.com На момент публикации данной статью ответ от компании не был получен.
Продукты «Лаборатории Касперского» проактивно защищают пользователей от установки вредоносной программы-дроппера (равно как и от полезной нагрузки в виде Trojan-Spy.Win32.Lurk и Trojan-PSW.Win32.Fareit), а также блокируют ее загрузку с сайта ammyy.com.

MD5

D93B214C093A9F1E07248962AEB74FC8
FA3F9938845EC466993A0D89517FE4BD
C6847F43C3F55A9536DDCD34B9826C67
5811244C03A0A074E56F44B545A14406
EF231C83CA2952B52F221D957C3A0B93
CFD5093CB2BB3349616D9875176146C1
2F3259F58A33176D938CBD9BC342FDDD
186789B35DFCDFEBFE7F0D4106B1996F
E483C477F78119AF953995672E42B292
B084C2099CE31DD8D3E9D34F31CD606D