Lurk银行木马侵入Ammyy Admin站点种植木马后门

  今年2月初,在调查恶意银行木马Lurk的过程中,我们发现:在该木马的传播过程中,存在一件有趣的怪事。

  从我们掌握的数据来看,那些遭到Lurk木马攻击的用户,都被迫在自己的PC上安装了远程管理软件Ammyy Admin。

  起初,我们对此现象并没有太在意,但随着调查的深入,我们发现:Ammyy Admin官网已经遭到了黑客攻击,黑客在该网站中放置了木马后门。用户在从该网站下载Ammyy Admin软件(该软件用于实现远程控制访问)的过程中,由于黑客将恶意木马植入了该软件,因而也会附带下载Lurrk木马程序。

  原来,在Ammyy Admin软件的官网上,存在一个不含数字签名认证的安装程序,即:NSIS(一个专业开源的制作windows安装程序的工具)安装程序。当用户运行这一安装程序时,系统中会自动生成一个临时文件夹,里面包含关于该木马的两个exe文件:

  1.aa_v3.exe―它是Ammyy Admin软件的安装程序,具有数字签名功能;

  2.ammyysvc.exe―它就是间谍木马Lurk的安装程序

  换句话说,黑客在Ammyy Admin软件官网上种植了Lurk间谍木马程序,当用户下载安装Ammyy Admin软件时,同时也会在自己的系统中安装这一间谍木马程式。

  我们发现,黑客散布这种木马的方式,好像符合某种特定的规律,即:只在周一到周五之间,每天选取几个小时的时间来散布木马。

  早在2015年11月,就有一些安全研究员指出,黑客已经在采用这种方式来传播木马,但是,研究人员的提醒,并没有引起人们的重视。

  之后,这种木马的传播趋势便呈现出了愈演愈烈之势。

Lurk银行木马侵入Ammyy Admin站点种植木马后门

  另外,在发表这篇文章时,我们发现,现在一些浏览器(如:火狐)已经将Ammyy Admin官网站点(www.ammyy.com)列入到了高危站点的名单中,并会提醒用户暂时不要下载Ammyy Admin软件,以防遭到Lurk木马攻击。

Lurk银行木马侵入Ammyy Admin站点种植木马后门

  为了确保能够成功地传播这一间谍木马程式,黑客们修改了Ammyy Admin官网网页的PHP代码,加入了自动下载木马的功能,即:当有用户要从该网站下载软件时,也会附带下载加入的木马程序。

Lurk银行木马侵入Ammyy Admin站点种植木马后门

  今年4月初,黑客在网络上上传了一个新的木马后门程序。当运行这一木马时,它会运行系统自带的GetComputerNameExA功能,来检查这台被感染的计算机是否连入了企业局域网络。如果是,那么当用户在使用Ammyy Admin软件时,该木马就会启动,对网络中的其他PC发起攻击。这也表明,黑客最终的攻击目标是网络中的各大站点以及所使用的服务器

  我们还需注意到,这种网络攻击的类型属于Watering Hole攻击(Watering Hole是一种专门针对大型网络的攻击方式),具有很强的破坏力。

  如果当用户正在使用某些远程控制软件时,这种木马则会对用户构成更大的威胁。一些经常使用类似远程控制软件的系统管理员,往往会受到该软件的误导,假定一些安全软件检测到的,潜在的攻击是不会发生的,进而使系统陷入了巨大的危险之中。同时,他们还会停止对系统的保护,这样就使得木马程序能够追踪,并检查用户设置的程序白名单,进而选取其中的目标,发动攻击。

  来自卡巴斯基实验室的研究人员用实验室研发的安全软件,对此类远程控制软件进行了检测,结果发现,当检测到有类似软件存在时,系统就会弹出一个黄色的对话框,提示“该软件不含病毒”。进行类似检测的目的是为了保证能在系统启动类似软件的第一时间,就给用户发出通知,告知用户该软件的安全性,因为一些利用Lurk木马实施攻击的黑客,往往在用户毫无防备的情况下,就将此类木马植入到了软件中,通过这种方式来散播木马。

  在发现Ammyy Admin官网遭到攻击的第一时间,我们立即将这一情况报告了Ammyy Group公司的相关人员。之后,Ammyy Group公司发表声明称,该网站已经被修复,恶意的“外星人”代码已经被删除,网站恢复正常使用。

  早在今年2月份,在黑客大肆传播该木马时,我们就曾给Ammyy Group公司发去了三点注意事项,提醒他们应对此给予高度关注。虽然每一次都只是暂时性地解决了问题,但至少证明,Ammyy Group公司应对问题的态度是积极的。

  6月1日,研究人员发现,黑客对Lurk进行了更新。有趣的是,就在同一天,有媒体报道,Lurk木马的作者被警方逮捕了;同时,在网络上又出现了一种新的木马:Trojan-PSW.Win32 Fareit,替代了原先的Lurk。黑客通过Trojan-PSW.Win32 Fareit这一新木马,可盗取用户的个人信息。这就意味着,攻击Ammyy Admin官网的那些黑客,想要通过ammyy.com这一站点传播新木马,就需要攻击新的用户,盗取用户个人信息,勒索赎金,进而才能给更新木马提供资金来源。

  我们已经向Ammyy Group公司汇报了这一新情况,提醒他们需对此引起重视。

  卡巴斯基实验室推出的安全软件能够有效地阻止这类恶意木马的下载和安装,包括Trojan-Spy.Win32.Lurk和Trojan-PSW.Win32.Fareit。

发表评论