Prilikom istraživanja opasnog bankarskog trojanca Lurk, stučnjaci iz kompanije Kaspersky Lab otkrili su da kriminalci koji stoje iza ovog malvara koriste legalan softver kako bi inficirali metu.
U trenucima kada su korisnici instalirali legitiman softver za daljinsko upravljanje sa zvanične veb stranice proizvođača (ammy.com), nesvesno su dopustili malver infekciju svog računara.
Lurk banda je uhapšena u Rusiji početkom juna 2016. godine, a koristila je istoimeni višeslojni trojan virus. Uz pomoć virusa, navodno su uspeli da ukradu 45 miliona američkih dolara (3 milijarde rubalja) od banaka, drugih finansijskih institucija i preduzeća u zemlji.
Kako bi dodatno distribuirali malver, koristili su različite tehnike, uključujući i „watering hole“ napade, prilikom kojih inficiraju legitimnu veb stranicu i koriste ranjivosti kako bi zarazili PC računare korisnika koji posete tu stranicu. Jedan od primera ovakvog napada, koji je sprovela hakerska grupa Lurk, bio je posebno zanimljiv jer tokom njega nisu korišćene ranjivosti već legitiman softver.
Dok su obavljali tehničku analizu Lurk virusa, stručnjaci iz kompanije Kaspersky Lab primetili su zanimljiv šablon - mnoge žrtve malvera imale su instaliran softver za daljinski pristup pod nazivom Ammyy Admin. Ova alatka je veoma popularna među administatorima poslovnih sistema, zato što im omogućuju da daljinski rade na IT infrastrukturi njihovih organizacija. Ali kakva je bila veza između ovog alata i malvera?
Da bi dobili odgovor na ovo pitanje, stručnjaci iz kompanije Kaspersky Lab posetili su zvaničnu veb stranicu Ammyy Admin i pokušali da preuzmu softver. Uspeli su, ali analiza softvera sa stranice je ukazivala na to da će pored legitimnog alata preuzeti i Lurg trojan virus. Strategija je bila prilično jasna: žrtva verovatno ne bi primetila instalaciju malvera zbog prirode softvera sa daljinskim pristupom, koji određena antivirusna rešenja tretiraju kao maliciozna i štetna. Imajući u vidu da IT stručnjaci unutar preduzeća ne obraćaju uvek pažnju na upozorenja sa bezbednosnih rešenja, on bi mogao biti smatran bezbednim, čak i uz upozorenje bezbednosnog rešenja. Oni nisu shvatali da su preuzeli malver i da su dozvolili da on bude instaliran na njihovim uređajima.
Prema podacima kompanije Kaspersky Lab, Lurk trojanac je bio distribuiran preko stranice ammy.com od početka februara 2016. godine. Istraživači iz kompanije smatraju da su napadači koristili ranjivosti bezbednosnog sistema stranice Ammy Admin kako bi dodali malver u instalacionu arhivu legitimnog softvera za daljinski pristup. Stručnjaci iz kompanije Kaspersky Lab obavestili su vlasnike stranice o incidentu odmah nakon što su ga uočili, a čini se da su oni problem u međuvremenu rešili.
Međutim, početkom aprila 2016. godine, još jedna verzija Lurk trojanca registrovana je na stranici Ammyy Admin. Ovaj put, prevaranti su počeli da distribuiraju modifikovan trojan virus, koji autmatski proverava da li je žrtvin računar deo korporativne mreže. Malver je bio instaliran samo ako je računar bio deo korporativne mreže, što predstavlja usko ciljan napad.
Stručnjaci iz kompanije Kaspersky Lab ponovo su prijavili ovu sumnjivu aktivnost i dobili odgovor od kompanije da je problem rešen. Međutim, 1. juna 2016. godine, otkriven je trojanac Fareit, novi malver koji je bio postavljen na stranicu. Ovaj put, maver je bio kreiran tako da ukrade lične podatke korisnika. Vlasnici stranice su obavešteni i o ovom incidentu.
U ovom trenutku, veb stranica ne sadrži ovaj malver. „Korišćenje legalnog softvera u kriminalne svrhe jeste veoma efikasna tehnika širenja malvera. Na prvom mestu, efikasna je zato što sajber kriminalci mogu da se igraju sa korisnikovom percepcijom bezbednosti legitimnog softvera koji su preuzeli. Preuzimanjem i instaliranjem softvera poznatih i cenjenih proizvođača, korisnici ne razmišljaju o mogućnosti da softver može sadržati i neke maliciozne dodatke. Zbog toga je sajber kriminalcima znatno lakše da dobiju pristup svojim žrtvama i značajno povećaju njihov broj”, upozorava Vasili Berdnikov (Vasily Berdnikov), malver analitičar u kompaniji Kasprersky Lab.
U cilju ublažavanja rizika od ove vrste napada, IT stručnjaci i servisi treba konstantno da proveravaju da li postoje ranjivosti unutar njihove organizacije, kao i da koriste pouzdana bezbednosna rešenja i podižu svest o sajber pretnjama među zaposlenima.
Proizvodi kompanije Kaspersky Lab otkrili su gore pomenut malver kao Trojan-Spy.Win32.Lurk i Trojan-PSW.Win32.Fareit, a takođe sprečavaju i njegovu instalaciju sa stranice ammy.com. Apelujemo na organizacije da provere prisustvo ovog virusa u svojim mrežama.