Durante los días 13 y
14 de junio la aplicación descargada desde la web oficial del software de
control de escritorio remoto Ammy Admin contenía software malicioso. Se ha
verificado que los días señalados, el software gratuito incluía un malware
bancario y troyano detectado por ESET como Win32/Kasidet.
Este malware tenía dos objetivos principales:
1. Robar archivos que
puedan contener credenciales y/o monederos de criptomonedas. Para ello el
software buscaba nombres de archivos que coincidieran con:
·
pass.txt
·
passwords.txt
·
wallet.dat
·
bitcoin
2. Reportar procesos
que incluyan alguna de las siguientes características:
·
armoryqt
·
bitcoin
·
exodus
·
electrum
·
jaxx
·
keepass
·
kitty
·
mstsc
·
multibit
·
putty
·
radmin
·
vsphere
·
winscp
·
xshell
La URL del C&C está detectada en VT por 8/67
antivirus:
Aunque si verificamos
directamente los hashes de las muestras, podemos ver que tienen un ratio de
detección mayor al del C&C.
Instaladores:
·
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
·
6FB4212B81CD9917293523F9E0C716D2CA4693D4
·
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Servicio:
·
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
·
9F9B8A102DD84ABF1349A82E4021884842DC22DD
·
4B4498B5AFDAA4B9A2A2195B8B7E376BE10
Recomendación
Debemos mantener mantener
los antivirus activos y actualizados a la hora de descargar cualquier software.
Y, en caso de duda, verificar por algún servicio adicional para asegurarnos que
no incluya software malicioso en el código.
Más información:
·
Web
oficial de Ammy Admin: http://www.ammyy.com/es/
Fuente: Hispasec