Informacja prasowa - Rzecznik prasowy PL

Legalne oprogramowanie zdalnego dostępu
wykorzystywane do rozprzestrzeniania trojana gangu
Lurk
18 lipca 2016 r.
Podczas badania niebezpiecznego trojana bankowego o nazwie Lurk eksperci
bezpieczeństwa z Kaspersky Lab odkryli, że stojący za tym szkodliwym
oprogramowaniem przestępcy wykorzystali legalne oprogramowanie w celu
infekowania swoich ofiar. Trojan był pobierany ze zhakowanej strony internetowej.
Gang Lurk, który wykorzystywał wielowarstwowego trojana o tej samej nazwie, został
aresztowany w Rosji na początku czerwca 2016 r. Z pomocą tego szkodnika cyberprzestępcy
zdołali prawdopodobnie ukraść ponad 45 milionów dolarów z banków, innych instytucji
finansowych oraz firm w tym kraju.
W celu rozprzestrzeniania szkodnika atakujący stosowali różne techniki, w tym tzw. atak „przy
wodopoju” (ang. watering hole). Polega on na włamaniu się na legalną stronę internetową
i zmodyfikowaniu jej tak, by komputer użytkownika otwierającego taką witrynę był
automatycznie infekowany. Jeden z przykładów ataków przy wodopoju przeprowadzonych
przez gang Lurk był szczególnie interesujący, ponieważ nie wykorzystywano w nim
szkodliwych narzędzi, a legalne oprogramowanie.
Podczas prowadzenia analizy technicznej trojana Lurk eksperci z Kaspersky Lab dostrzegli
interesującą prawidłowość – wiele ofiar tego szkodnika zainstalowało na swoich komputerach
narzędzie zdalnej administracji Ammyy Admin. Narzędzie to jest dość popularne wśród
administratorów systemów firmowych, ponieważ umożliwia im zdalną pracę z infrastrukturą IT
swojej organizacji. Jaki jest jednak związek między tym narzędziem a szkodliwym
oprogramowaniem?
Aby uzyskać odpowiedź na to pytanie, eksperci z Kaspersky Lab odwiedzili oficjalną stronę
internetową Ammyy Admin i pobrali z niej oprogramowanie. Jego analiza wykazała, że oprócz
„czystego”, legalnego narzędzia zdalnego dostępu został zainstalowany również trojan Lurk.
Strategia, jaką stosowali przestępcy, jest zatem jasna: ofiara prawdopodobnie nie zauważy
instalacji szkodliwego oprogramowania ze względu na charakter programu zdalnego dostępu,
gdyż jest on traktowany przez niektóre rozwiązania antywirusowe jako potencjalnie
niebezpieczny. Wiedząc, że specjaliści IT w firmach nie zawsze zwracają uwagę na
ostrzeżenia wyświetlane przez rozwiązania bezpieczeństwa, cyberprzestępcy z pewnością
liczyli na to, że wielu potraktuje je jako fałszywy alarm. Sami użytkownicy nie zdawali sobie
sprawy, że na ich maszynach zostało zainstalowane szkodliwe oprogramowanie.
Z danych Kaspersky Lab wynika, że trojan Lurk był rozprzestrzeniany za pośrednictwem strony
ammy.com od pierwszych dni lutego 2016 r. Badacze uważają, że atakujący wykorzystali
słabe punkty w systemie bezpieczeństwa strony Ammyy Admin, aby dodać tego szkodnika do
archiwum instalacyjnego oprogramowania zdalnego dostępu. Eksperci z Kaspersky Lab
poinformowali właścicieli strony o incydencie natychmiast po zauważeniu go i wszystko
wskazywało na to, że problem został usunięty.
Jednak na początku kwietnia 2016 r. na stronie internetowej Ammyy została wykryta kolejna
wersja trojana Lurk. Tym razem oszuści zaczęli rozprzestrzeniać nieco zmodyfikowanego
trojana, który automatycznie sprawdzał, czy komputer ofiary należy do sieci korporacyjnej.
Szkodliwe oprogramowanie było instalowane tylko wtedy, gdy udało się potwierdzić, że jest to
sieć korporacyjna, przez co jego ataki były bardziej precyzyjne.
Eksperci z Kaspersky Lab tym razem również zgłosili tę szkodliwą aktywność, otrzymując
odpowiedź od firmy, że problem został rozwiązany. Jednak 1 czerwca 2016 r. wykryto trojana
Fareit – kolejne szkodliwe oprogramowanie, które zostało umieszczone na tej stronie
internetowej. Tym razem celem szkodnika była kradzież osobistych informacji użytkowników.
Również to odkrycie zostało zgłoszone właścicielom strony i obecnie nie zawiera ona już tego
szkodliwego oprogramowania.
„Wykorzystanie legalnego oprogramowania do szkodliwych celów to niezwykle skuteczna
technika rozprzestrzeniania trojanów i innych zagrożeń. Przede wszystkim dlatego, że
cyberprzestępcy mogą żerować na przekonaniu użytkowników o legalności pobieranego
oprogramowania. Pobierając i instalując oprogramowanie dobrze znanych twórców,
użytkownicy nie martwią się, że mogą dostać w prezencie szkodnika. To bardzo ułatwia
cyberprzestępcom uzyskanie dostępu do swoich celów i znacznie zwiększa liczbę ofiar” –
ostrzega Wasilij Berdnikow, analityk szkodliwego oprogramowania, Kaspersky Lab.
W celu złagodzenia ryzyka tego rodzaju ataków specjaliści ds. IT powinni nieustannie
sprawdzać występowanie luk w zabezpieczeniach wewnątrz organizacji, łącząc to
z implementacją niezawodnych rozwiązań bezpieczeństwa i podnoszeniem świadomości
cyberbezpieczeństwa wśród pracowników.
Produkty firmy Kaspersky Lab wykrywają wspomniane wyżej szkodliwe oprogramowanie jako
Trojan-Spy.Win32.Lurk oraz Trojan-PSW.Win32.Fareit, zapobiegając ich instalacji ze strony
ammy.com. Eksperci uczulają organizacje, aby sprawdziły swoje sieci pod kątem obecności
tego szkodliwego oprogramowania.
Więcej informacji i szczegółów dotyczących ataku znajduje się na stronie http://kas.pr/9uqR.
Szczegółowy opis funkcjonalności trojana Lurk jest dostępny na stronie http://kas.pr/8Nwh.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako
źródła.
Wszystkie informacje prasowe
http://www.kaspersky.pl/nowosci.
Kaspersky
Lab
Dalszych informacji udziela
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: [email protected]
Tel. bezpośredni: 22 206 59 61
Tel. kom.: 518 935 846
Polska
są
dostępne
na
stronie
Informacje o Kaspersky Lab
Kaspersky Lab jest założoną w 1997 r., globalną firmą z branży cyberbezpieczeństwa. Dzięki doświadczeniu
i zdobywanej latami eksperckiej wiedzy firma tworzy rozwiązania bezpieczeństwa chroniące firmy, infrastrukturę
krytyczną, rządy i konsumentów na całym świecie. Obszerny wachlarz produktów Kaspersky Lab obejmuje
technologie ochrony punktów końcowych oraz specjalizowane rozwiązania i usługi pozwalające na walkę
z zaawansowanymi, nieustannie ewoluującymi cyberzagrożeniami. Technologie Kaspersky Lab chronią ponad
400 milionów użytkowników oraz 270 000 klientów korporacyjnych na całym świecie. Polskie przedstawicielstwo
firmy istnieje od 2000 r. Informacje o bezpieczeństwie przygotowywane przez ekspertów z Kaspersky Lab są
dostępne w serwisie SecureList.pl oraz na oficjalnym blogu – Kaspersky Daily. Więcej informacji można uzyskać
na stronie http://kaspersky.pl.