ESET®, al meer dan twee
decennia wereldwijd pionier in proactieve bescherming, ontdekte meerdere
voorbeelden van malware die verspreid werden via een strategische
webbesmetting. Eind oktober en begin november van dit jaar kregen bezoekers van
ammyy.com een pakket aangeboden dat niet enkel de legale Remote Desktop
software Ammyy Admin maar ook malware bevatte.
De
vorsers van ESET stelden eind oktober vast dat, nagenoeg één week lang,
bezoekers van ammyy.com een installatieprogramma hebben gedownload dat samen
met het Ammyy product dus ook malware bevatte. Hoewel Ammyy Admin legale
software is, heeft het een lange geschiedenis van gebruik door oplichters en
verschillende beveiligingsproducten zoals ESET hebben het als een Potentiële
Onveilige Toepassing bestempeld.
Bovendien
geeft Download.com, een belangrijke download site, de gebruikers geen
rechtstreekse link naar Ammyy software maar vermeldt de Ammyy Admin pagina
enkel ter informatie. Nochtans wordt Ammyy Admin nog steeds op grote schaal
gebruikt: op de website van Ammyy staat een klantenlijst met bedrijven uit de
Top 500 van Fortune alsook Russische banken.
Volgens
het onderzoek van ESET werden vijf verschillende malware families via Ammy’s
website tijdens dit recente incident verspreid. De eerste soort malware, de
Lurk downloader, werd verspreid op 26 oktober. Vervolgens waren op 29 oktober Corebot en op 30
oktober Buhtrap aan de beurt. Tenslotte werden op 2 november Ranbyus en Netwire
RAT verspreid.Hoewel deze families met elkaar
geen link hebben, waren de droppers die mogelijk van de Ammy website gedownload
werden in alle gevallen dezelfde. Het kan dus best zijn dat cybercriminelen die
de site hebben gehackt de toegang ervan aan verschillende groepen hebben
verkocht.
Van al de malware die via de website van Ammy werd verspreid
is het installatieprogramma gebruikt in Operation
Buhtrap van bijzonder interest.
“Het feit dat cybercriminelen nu strategische webbesmetting
gebruiken is een nieuw teken dat de kloof steeds kleiner wordt tussen de
technieken van cyberkriminelen en de spelers achter de zogenoemde geavanceerde
persistente bedreigingen,” zegt Jean-Ian Boutin, Malware
Researcher bij ESET.
Verneem
meer over deze strategische webbesmetting en de connectie met Operation Buhtrap
op WeLiveSecurity.com