Ammyy Admin yine tehlike saçıyor; paravan Dünya Kupası

Ücretsiz uzaktan yönetim aracı Ammyy Admin'i 13 veya 14 Haziran tarihlerinde resmî web sitesinden indiren kullanıcılar, dikkatli olun! 

ESET'in analizlerine göre, web sitesi bu zaman aralığında, bu yasal yazılımın kötü amaçlı bir sürümünü dağıtacak şekilde ele geçirildi. Olaya ilginçleştirmek isteyen saldırganlar, zararlı faaliyetlerini devam etmekte olan Dünya Kupası adının ardına gizlemeye çalıştılar. 

Neredeyse geçmişe yolculuk gibi geliyor. Ekim 2015'te, Ammyy Admin yazılımının ücretsiz bir sürümüyle zararlı kod dağıtan web sitesinin siber suç grubu Buhtrap ile bağlantılı olduğu ortaya çıktı.  Şimdi tarih tekerrür ediyor ve site yeniden tehlikeli duruma gelmiş gibi görünüyor. Sorun ilk olarak ESET araştırmacıları tarafından 13 Haziran'da gece yarısından 14 Haziran sabahına dek gözlemlendi.

Kasidet bot ile birlikte uzaktan yönetim

Yazılımı 13 – 14 Haziran aralığında ammyy.com adresinden indiren kullanıcılar, uzak yönetim aracından fazlasını indirmiş oldular. Paketin bir kısmı aynı zamanda ESET tarafından Win32/Kasidet olarak da tespit edilen çok amaçlı bir Trojan ve bankacılık zararlı yazılımıydı.  ESET, tüm potansiyel kurbanlara önlemler almalarını ve cihazlarını tarayıp temizleyecek güvenilir bir güvenlik ürünü kullanmalarını öneriyor. 

Win32/Kasidet, yeraltı suç pazarlarında satılan ve çeşitli siber suç grupları tarafından aktif olarak kullanılan bir bot olarak tanımlanabilir. Resmi ammyy.com sitesinde 13 ve 14 Haziran 2018 tarihlerinde tespit edilen sürümün iki ana amacı bulunuyor: 

1.    Şifreler içerebilecek dosyalarla birlikte, kripto para birimi cüzdanlarına ve hesaplara ait erişim bilgilerini içeren dosyaları ele geçirmek.   Bunu, aşağıdaki ifadelerle eşleşen dosya isimlerini arayıp onları C&C sunucusuna göndererek gerçekleştiriyor:

o  bitcoin

o  pass.txt

o  passwords.txt

o  wallet.dat

2.    Adları şu dizilerden herhangi birini içeren raporlama süreçleri:

o  armoryqt 

o  bitcoin

o  exodus

o  electrum

o  jaxx 

o  keepass 

o  kitty

o  mstsc 

o  multibit

o  putty

o  radmin

o  vsphere 

o  winscp

o  xshell

Yönetim ve kontrol sunucusunun URL adresi hxxp://fifa2018start[.]info/panel/tasks.php, ayrıca dikkate değer. Görünen o ki saldırganlar, devam etmekte olan FIFA Dünya Kupası şampiyonasıyla zararlı ağ bağlantılarını gizleyecek şekilde tasarlamışlar.

ESET araştırmacıları, 2015'teki saldırıyla birden fazla benzerlik tespit etti.  O zamanlar saldırganlar, ammyy.com'u neredeyse her gün değişkenlik gösteren pek çok zararlı yazılım ailesine hizmet edecek şekilde kötüye kullanmaktaydı. 2018'deki durumda, ESET sistemleri yalnızca Win32/Kasidet'i tespit etti. Fakat, yük kapasitesinin gizlenmesi, muhtemelen güvenlik ürünleri tarafından tespit edilmenin önlenmesi amacıyla üç durumda gerçekleşti.  

Olaylar arasındaki başka bir benzerlik de yük kapasitesini içeren dosya isimlerinin aynı olmasıydı; Ammyy_Service.exe. İndirilen yükleyici AA_v3.exeilk bakışta meşru görünebilir; fakat saldırganların SmartInstaller kullanarak oluşturdukları yeni ikili sistem, Ammyy_Service.exe'nin Ammyy Admin yazılımı yüklenmeden önce yerleştirilmesini sağlıyor.  

Sonuç

Site geçmişte de benzer şekilde ele geçirildiğinden, ESET kullanıcılara bu web sitesinden yazılım indireceklerinde güncel ve güvenilir bir çok katmanlı zararlı yazılım karşıtı güvenlik çözümü kullanmalarını tavsiye ediyor. 

Ammyy Admin meşru bir araç olsa da, dolandırıcılar tarafından suistimal edildiği uzun bir geçmişe sahip.  Sonuç olarak, ESET de dahil olmak üzere birkaç güvenlik ürünü bunu Potansiyel Güvenli Olmayan Uygulama olarak tespit edebiliyor.  Yine de, özellikle Rusya'da yaygın olarak kullanılmakta. 

Bu sorun hakkında Ammyy'i bilgilendirdik.  Ammyy Admin yaygın olarak kullanıldığından, kullanıcılarını güvenlik sorunları hakkında bilgilendirmenin önemli olduğunu düşünüyoruz. 

Bizi bu tehlikeden haberdar eden ve analizi gerçekleştiren Jakub Soucek'e teşekkür ediyoruz. 

Risk İşaretleri (IoCs):

ESET tespit adları

Win32/Kasidet

SHA-1 hashes

Yürkleyici

6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27

6FB4212B81CD9917293523F9E0C716D2CA4693D4

675ACA2C0A3E1EEB08D5919F2C866059798E6E93

 

Win32/Kasidet

EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9

9F9B8A102DD84ABF1349A82E4021884842DC22DD

4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E

 

C&C Sunucuları

fifa2018start[.]info