Durante los días 13 y 14 de julio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso.
Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.
Este malware tenía dos objetivos principales:
1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:
- pass.txt
- passwords.txt
- wallet.dat
- bitcoin
2. Reportar procesos que incluyan alguna de las siguientes características:
- armoryqt
- bitcoin
- exodus
- electrum
- jaxx
- keepass
- kitty
- mstsc
- multibit
- putty
- radmin
- vsphere
- winscp
- xshell
La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection
Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.
Instaladores:
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Servicio:
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10
No es la primera noticia de las que se habla sobre un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:Malware hallado en el repositorio AUR de Arch LinuxRoban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.
Desde Hispasec recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.
Fuente: hispasec.com