Распространение троянца Lurk через легитимное ПО

По сообщению «Лаборатории Касперского», ее эксперты выяснили, что известный троянец Lurk, с помощью которого удалось украсть более 3 млрд руб. со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin. Злоумышленники использовали то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли просто принять за ложное срабатывание антивируса.

По данным «Лаборатории Касперского», банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 г. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе. Эксперты «Лаборатории Касперского» проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.

Однако в начале апреля 2016 г. модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные. Ammyy Group была также проинформирована об этом инциденте.

1 июня нынешнего года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, «охотившийся» за персональной информацией пользователей. Как и в предыдущих случаях, после сообщения от «Лаборатории Касперского» Ammyy Group удалила вредоносное ПО со своего сайта, и в настоящее время его следов на сайте ammyy.com не обнаружено.

Как считают аналитики «Лаборатории Касперского», техника использования легитимного ПО для распространения зловредов крайне эффективна: скачивая известные программы из официальных источников, пользователи даже не думают, что вместе с нужным ПО могут получить какие-либо вредоносные вложения. В результате количество жертв при подобном способе заражения увеличивается в разы.

Защитные продукты «Лаборатории Касперского» детектируют все обнаруженные на сайте ammyy.com вредоносные программы как Trojan-Spy.Win32.Lurk и Trojan-PSW.Win32.Fareit и блокируют их. Эксперты компании рекомендуют организациям проверить свои корпоративные сети на наличие этих вредоносных программ.