29 de julio de 2018

Propagación de versión maliciosa del software Ammy Admin

Durante los días 13 y 14 de junio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso. Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.
Este malware tenía dos objetivos principales:
1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:
·        pass.txt
·        passwords.txt
·        wallet.dat
·        bitcoin 
2. Reportar procesos que incluyan alguna de las siguientes características:
·        armoryqt
·        bitcoin
·        exodus
·        electrum
·        jaxx
·        keepass
·        kitty
·        mstsc
·        multibit
·        putty
·        radmin
·        vsphere
·        winscp
·        xshell
La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection
Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.
Instaladores:
·        6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
·        6FB4212B81CD9917293523F9E0C716D2CA4693D4
·        675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Servicio:
·        EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
·        9F9B8A102DD84ABF1349A82E4021884842DC22DD
·        4B4498B5AFDAA4B9A2A2195B8B7E376BE10
Recomendación
Debemos mantener mantener los antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algún servicio adicional para asegurarnos que no incluya software malicioso en el código.
Más información:
·        Web oficial de Ammy Admin: http://www.ammyy.com/es/
Fuente: Hispasec

Publicado por en
Etiquetas: