Экспертами «Лаборатории Касперского» выявлена интересная особенность в механизме распространения банковской вредоносной программы Lurk. По данным исследователей, на устройствах пользователей, которые пострадали от активности Lurk, была установлена программа удаленного администрирования Ammyy Admin. Специалисты подтвердили, что официальный сайт Ammyy Admin взломан.
Инсталлятор программы для удаленного доступа к рабочему столу Ammyy Admin, размещался на официальном сайте, не имея при этом цифровой подписи и являясь по сути NSIS-архивом. После того, как пользователь запускал этот архив, во временном каталоге создавался и сразу же открывался инсталлятор Ammyy Admin (aa_v3.exe), имеющий цифровую подпись, а вместе с ним и вредоносная шпионская программа Trojan-Spy.Win32.Lurk (ammyysvc.exe).
Как утверждают исследователи, файл-установщик Ammyy Admin, который загружается с официального сайта, в действительности является дроппером для незаметной установки на систему вредоносной программы, несмотря на то, что процесс внешне выглядит, как инсталляция легитимного программного обеспечения. Эксперты отмечают, что совместное распространение дроппера и легитимного программного обеспечения осуществлялось постоянно по несколько часов каждый будний день.
Чтобы успешно распространять вредоносное программное обеспечение, киберпреступники внесли изменения в php-скрипт на веб-сервере Ammyy Group, вследствие чего пользователи, запрашивающие скачивание легитимной утилиты, загружали вредоносный дроппер.
Хакеры не впервые пользуются сайтом Ammyy Group, чтобы распространять Lurk. Эксперты «Лаборатории Касперского» несколько раз сообщали представителям компании о кибернападениях. Проблема всегда устранялась лишь на время. Хакеры 1 июня внесли изменения в содержимое дроппера. Теперь на официальном сайте Ammyy Admin осуществляется распространение другой вредоносной программы – Trojan-PSW.Win32.Fareit. Она предназначена для хищения персональных данных. Эксперты проинформировали Ammyy Admin о сложившейся ситуации.