«Лаборатория Касперского» рассказала о распространении троянца через легитимное ПО
Эксперты "Лаборатории Касперского" выяснили, что троянец Lurk, с помощью которого киберпреступники смогли украсть более 3 млрд руб. со счетов клиентов российских банков, попадал на компьютеры жертв вместе с легитимной программой удаленного администрирования Ammyy Admin.
Злоумышленники использовали особенности подобного ПО, а именно то обстоятельство, что установка программ для удаленного доступа к системе часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в этом случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.
По данным "Лаборатории Касперского", банковский троянец Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу, предназначенную для скрытой установки зловреда в системе. Эксперты "Лаборатории Касперского" проинформировали об этом компанию Ammyy Group, после чего вредоносный код с сайта был удален.
Однако в начале апреля 2016 года модифицированная версия троянца Lurk вновь появилась на официальном сайте разработчика Ammyy Admin. На этот раз перед установкой зловред проверял, является ли заражаемый компьютер частью корпоративной сети. И это свидетельствует о том, что злоумышленников интересовали именно корпоративные пользователи и хранимые на их устройствах данные. Об этом инциденте "Лаборатория Касперского" также проинформировала Ammyy Group.
1 июня 2016 года стало известно об аресте кибергруппировки, стоящей за Lurk. И в этот же день на сайте ammyy.com был найден новый троянец Fareit, охотившийся за персональной информацией пользователей. Как и во всех предыдущих случаях, после сообщения от "Лаборатории Касперского" Ammyy Group удалила зловреда со своего сайта. В настоящее время следов вирусного ПО на сайте ammyy.com не обнаружено.