Buhtrap帮派通过Ammyy的远程桌面软件分发恶意软件

ESET发现了一些通过战略性网络入侵传播恶意软件的示例。最近,ammyy.com的访问者获得了一个捆绑包,其中不仅包含公司的合法远程桌面软件Ammyy Admin,还包含恶意软件。

研究人员在10月下旬注意到,在大约一周的时间里,ammyy.com的访客正在下载一个包含恶意软件和Ammyy产品的安装程序。尽管Ammyy Admin是合法软件,但欺诈者使用它已有很长的历史,一些安全产品将其检测为潜在的不安全应用程序。

同样,主要的下载网站Download.com也不向用户提供指向Ammyy软件的直接下载链接,而是列出Ammyy Admin页面,仅供参考。但是,Ammyy Admin仍被广泛使用:Ammyy的网站列出了包括TOP500位《财富》公司以及俄罗斯银行在内的客户。

根据调查,在最近​​的事件中,通过Ammyy的网站分发了五个不同的恶意软件家族。第一个恶意软件是Lurk下载程序,于10月26日分发。其次是10月29日的Corebot,然后是10月30日的Buhtrap,最后是11月2日的Ranbyus和Netwire RAT。

尽管这些家族没有链接,但在每种情况下,可能从Ammyy网站下载的删除程序都是相同的。因此,负责网站黑客攻击的网络罪犯很有可能将访问权出售给了不同的群体。

通过Ammyy网站分发的恶意软件中,特别令人感兴趣的是Operation Buhtrap中使用的安装软件包。

ESET恶意软件研究人员Jean-Ian Boutin说:“网络罪犯现在使用战略性网络折衷手段的事实是网络罪犯和所谓的“高级持久威胁”背后的行为者所使用的技术之间的差距正在缩小。

分享这个