Eset, leader dans la sécurité informatique depuis plus de deux décennies, a découvert plusieurs exemples de malwares distribués via un compromis web stratégique. Depuis fin octobre 2015, les visiteurs du site ammyy.com ont reçu un lot de téléchargement ne contenant pas uniquement le logiciel de contrôle à distance Ammy Admin, mais également des malwares.
Les chercheurs d’ESET ont noté fin octobre, que depuis une semaine, les visiteurs du site ammyy.com ont téléchargés un programme d‘installation contenant des malwares avec les produits Ammyy. Bien que le logiciel Ammyy Admin soit légitime, il est utilisé depuis de nombreuses années par les arnaqueurs et plusieurs logiciels de sécurité, comme ESET, le détecte comme une application potentiellement dangereuse.
De la même façon, le site de téléchargement download.com, ne fournit pas aux utilisateurs un lien de téléchargement direct aux logiciels Ammyy, à la place est uniquement proposée une page d’informations sur le produit Ammyy Admin. Cependant, Ammyy Admin est toujours largement utilisé : la liste des clients du site Internet d’Ammyy’s inclut les entreprises du classement Fortune 500 comme par exemple les banques russes.
Selon l’enquête d’ESET, cinq familles différentes de malwares ont été distribuées via le site Internet Ammyy durant la période d’incidents. Le premier malware, Lurk downloader, a été distribué le 26 octobre. Le second est Corebot, le 29 octobre puis Buhtrap le 30 octobre, et enfin Ranbyus et Netwire RAT le 2 novembre. Bien que ces familles ne soient pas reliées entre elles, les droppers qui auraient été potentiellement téléchargées à partir du site Ammyy sont les mêmes. Ainsi, il est tout à fait possible que les cybercriminels aient piratés le site Internet pour vendre l’accès à différents groupes.
Parmi les logiciels malveillants distribués par Ammyy, un intérêt particulier résulte des lots distribués par l’Opération Buhtrap.
« Le fait que les cybercriminels utilisent un compromis web stratégique est un autre signe du fossé qui se creuse entre les techniques utilisées par les cybercriminels et les acteurs des soi-disant menaces persistantes avancées » déclare Jean-Ian Boutin, chercheur en Malware chez ESET.