Злоумышленники распространяли троян Lurk через легальное ПО

Напомним, что именно с помощью Lurk киберпреступники смогли украсть более 3 миллиардов рублей со счетов клиентов российских банков, сообщает "3Dnews".

Злоумышленники действовали в течение пяти лет, и лишь недавно группировку удалось ликвидировать.

С целью минимизировать риск детектирования трояна антивирусными программами киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, серверы атакованных IT-организаций и другие приёмы. Как теперь выясняется, зловред также попадал на компьютеры жертв вместе с легитимной программой удалённого администрирования Ammyy Admin.

Lurk распространялся с официального сайта разработчика ammyy.com как минимум с февраля 2016 года. Как оказалось, сайт был скомпрометирован киберпреступниками и загружаемый с него файл-установщик Ammyy Admin по сути представлял собой программу-дроппер, предназначенную для скрытой установки зловреда в системе.

Выбор преступников на программу удалённого администрирования пал не случайно. Дело в том, что установка подобных продуктов часто сопровождается уведомлением о потенциальном риске со стороны защитных решений. И в данном случае уведомление о наличии зловреда многие пользователи, среди которых были и системные администраторы компаний, могли принять просто за ложное срабатывание антивируса.

Примечательно, что 1 июня содержимое дроппера изменилось — вместо Lurk, об аресте создателей которого было объявлено в тот же день, с сайта ammyy.com начала распространяться вредоносная программа Trojan-PSW.Win32.Fareit, предназначенная для кражи персональной информации. Это позволяет предположить, что злоумышленники, стоящие за взломом ресурса Ammyy, за определённую плату предлагали всем желающим "место" в трояне-дроппере для распространения с ammyy.com.