Trojaans paard in officiële versie Ammyy Admin ontdekt
Aanvallers zijn de afgelopen maanden er meerdere keren in geslaagd om de website van de populaire computerbeheersoftware Ammyy Admin te hacken en daarvandaan een besmette versie met een Trojaans paard erin aan te bieden, zo heeft het Russische anti-virusbedrijf Kaspersky Lab ontdekt.
Het gaat onder andere om de Lurk Trojan, een Trojaans paard speciaal ontwikkeld om geld van online bankrekeningen te stelen. Begin juni werd de bende achter deze malware door de Russische autoriteiten aangehouden. De bende zou via de malware zo'n 40 miljoen euro hebben buitgemaakt. Tijdens het onderzoek naar de Lurk Trojan ontdekten de onderzoekers dat de malware op verschillende manieren werd verspreid.
Veel van de slachtoffers bleken Ammyy Admin te hebben geïnstalleerd. Via dit programma is het mogelijk om computers op afstand te beheren en het is vooral geliefd onder systeembeheerders. Verder onderzoek wees uit dat de website van Ammyy Admin een besmette versie aanbood. Gebruikers zouden in dit geval niets vermoeden, omdat de software juist als doel heeft een verbinding naar buiten op te zetten. De website Ammyy.com zou in ieder geval sinds februari van dit jaar de getrojaniseerde versie hebben aangeboden. Na te zijn ingelicht had Ammyy Admin maatregelen genomen.
Begin april werd er echter weer een besmette versie op ammyy.com aangetroffen. Deze versie controleerde eerst of de computer onderdeel van een bedrijfsnetwerk was. De malware installeerde zich alleen als het om een bedrijfscomputer ging, zodat de aanval een stuk gerichter werd. Wederom werden de ontwikkelaars van Ammyy Admin ingelicht en wederom lieten ze weten dat het probleem was verholpen.
Op 1 juni werd er wederom een besmette versie van de beheersoftware aangetroffen. Het ging om een ander malware-exemplaar, dit keer ontwikkeld om persoonlijke informatie van gebruikers te stelen, zoals wachtwoorden. Kaspersky waarschuwde de ontwikkelaars en de besmette versie werd van de website verwijderd. Vorig jaar november werd er ook al malware op de website van Ammyy Admin aangetroffen.
Ik denk dat het meer te maken heeft waarop de website gehost wordt..... Zal het daar niet meer mee te maken hebben, hoe men de malware heeft kunnen uploaden zodat gebruiikers het hebben kunnen downloaden?
Even kijken wat de server exact gebruikt als webserver:
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Hmmmm. Ziet er uit als een slecht onderhouden Linux webserver. Software is al een tijdje EOL verklaard en diverse nieuwe updates zijn er beschikbaar.
Kaspersky volgt dus weer eens het voorbeeld van anderen en doet nu alsof ze het wiel weer hebben uitgevonden:
http://www.symantec.com/connect/blogs/check-your-sources-trojanized-open-source-ssh-software-used-steal-information
http://blogs.cisco.com/security/trojanized-putty-software
Oftewel, Kaspersky heeft wat het mij lijkt gewoon de campagne van de anderen gekopieerd om dan maar nog meer sources te checken...
Ik denk dat het meer te maken heeft waarop de website gehost wordt..... Zal het daar niet meer mee te maken hebben, hoe men de malware heeft kunnen uploaden zodat gebruiikers het hebben kunnen downloaden?
Even kijken wat de server exact gebruikt als webserver:
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Hmmmm. Ziet er uit als een slecht onderhouden Linux webserver. Software is al een tijdje EOL verklaard en diverse nieuwe updates zijn er beschikbaar.
ik heb normaal niks met OS-oorlog, maar dit is een briljante reply.
En ammy zou ik dus nooit meer gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
