Κατά τη διάρκεια έρευνας για το επικίνδυνο τραπεζικό Trojan, Lurk, οι ειδικοί της Kaspersky Lab ανακάλυψαν ότι οι εγκληματίες πίσω από αυτό το κακόβουλο λογισμικό χρησιμοποιούσαν νόμιμο λογισμικό για την εξάπλωση της «μόλυνσης». Καθώς οι ανυποψίαστοι χρήστες εγκαθιστούσαν νόμιμο λογισμικό απομακρυσμένης πρόσβασης από την επίσημη ιστοσελίδα ενός παρόχου λογισμικού (ammy.com), «κατέβαζαν» άθελά τους κακόβουλο λογισμικό στις συσκευές τους.
Η συμμορία Lurk συνελήφθη στη Ρωσία στις αρχές Ιουνίου του 2016 και χρησιμοποιούσε το ομώνυμο πολυεπίπεδο Trojan. Με τη βοήθειά του, φαίνεται να κατάφερε να κλέψει 45 εκατομμύρια δολάρια (3 δισεκατομμύρια ρούβλια) από τράπεζες, άλλα χρηματοπιστωτικά ιδρύματα και επιχειρήσεις της χώρας.
Για να διαδώσουν το κακόβουλο λογισμικό, οι εγκληματίες χρησιμοποιούσαν διάφορες κακόβουλες τεχνικές, συμπεριλαμβανομένων των επιθέσεων τύπου «watering hole», οι οποίες συνίστανται στην παραβίαση μιας επίσημης ιστοσελίδας και τη «μόλυνση» της με exploits, που με τη σειρά τους «μολύνουν» τον υπολογιστή του θύματος με κακόβουλο λογισμικό. Ένα από τα παραδείγματα επίθεσης τύπου «watering hole» που εκτελέστηκε από το Lurk παρουσίασε ιδιαίτερο ενδιαφέρον, καθώς δεν βασιζόταν σε exploits, αλλά σε νόμιμο λογισμικό.
Κατά τη διάρκεια μιας τεχνικής ανάλυσης του Lurk, οι ειδικοί της Kaspersky Lab παρατήρησαν ένα ενδιαφέρον μοτίβο. Πολλά από τα θύματα του κακόβουλου λογισμικού είχαν εγκατεστημένο στους υπολογιστές τους το εργαλείο απομακρυσμένης επιφάνειας εργασίας Ammyy Admin. Αυτό το εργαλείο είναι αρκετά δημοφιλές μεταξύ των διαχειριστών επιχειρησιακών συστημάτων επιχειρήσεων, καθώς καθιστά δυνατή την απομακρυσμένη εργασία με την υποδομή πληροφορικής του οργανισμού. Αλλά ποια είναι η σχέση μεταξύ του εργαλείου και του κακόβουλου προγράμματος;
Για να πάρουν απάντηση σε αυτό το ερώτημα, οι ειδικοί της Kaspersky Lab επισκέφτηκαν την επίσημη ιστοσελίδα του Ammyy Admin και προσπάθησαν να «κατεβάσουν» το λογισμικό. Τα κατάφεραν, αλλά η ανάλυση του λογισμικού από τον ιστότοπο έδειξε ότι μαζί με το «καθαρό» επίσημο εργαλείο απομακρυσμένης πρόσβασης, είχε επίσης «κατέβει» και το Trojan Lurk. Το σκεπτικό πίσω από τη στρατηγική αυτή ήταν σαφές: Το θύμα ήταν απίθανο να παρατηρήσει την εγκατάσταση του κακόβουλου λογισμικού γιατί, λόγω της φύσης του λογισμικού απομακρυσμένης πρόσβασης αντιμετωπίζεται ως κακόβουλο ή επικίνδυνο από μερικές λύσεις antivirus. Γνωρίζοντας ότι πολλά στελέχη που ασχολούνται με τις υπηρεσίες πληροφορικής δε δίνουν πάντα την κατάλληλη προσοχή στις προειδοποιήσεις από τις λύσεις ασφάλειας, πολλοί θα αντιμετώπιζαν την ειδοποίηση της λύσης antivirus ως ψευδώς θετική. Έτσι, οι χρήστες δεν συνειδητοποιούσαν ότι το κακόβουλο λογισμικό είχε στην πραγματικότητα «κατέβει» και εγκατασταθεί στις συσκευές τους.
Σύμφωνα με τα στοιχεία της Kaspersky Lab, το Trojan Lurk έχει διαδοθεί μέσω του ammy.com από τις αρχές Φεβρουαρίου 2016. Οι ερευνητές της εταιρείας πιστεύουν ότι οι επιτιθέμενοι χρησιμοποίησαν αδυναμίες στο σύστημα ασφάλειας της ιστοσελίδας του Ammyy Admin, για να προσθέσουν το κακόβουλο λογισμικό στο αρχείο εγκατάστασης του λογισμικού απομακρυσμένης πρόσβασης. Οι ειδικοί της Kaspersky Lab ενημέρωσαν τους ιδιοκτήτες της ιστοσελίδας για το περιστατικό αμέσως μετά τον εντοπισμό του, οι οποίοι προφανώς και έλυσαν το πρόβλημα.
Ωστόσο, στις αρχές του Απριλίου του 2016, μια ακόμη έκδοση του Trojan Lurk καταχωρήθηκε στην ιστοσελίδα του Ammyy. Αυτή τη φορά, οι απατεώνες είχαν αρχίσει να διαδίδουν ένα ελαφρώς τροποποιημένο Trojan, το οποίο είχε τη δυνατότητα να ελέγχει αυτόματα αν ο υπολογιστής του θύματος ήταν μέρος ενός εταιρικού δικτύου. Το κακόβουλο λογισμικό εγκαθίστατο μόνο αν επιβεβαίωνε την ύπαρξη εταιρικού δικτύου, καθιστώντας τις επιθέσεις του πιο στοχευμένες.
Οι ειδικοί της Kaspersky Lab ανέφεραν την ύποπτη αυτή δραστηριότητα ξανά και έλαβαν την απάντηση της εταιρείας ότι το πρόβλημα λύθηκε. Ωστόσο, την 1η Ιουνίου του 2016, εντοπίστηκε το Trojan Fareit, ένα νέο κακόβουλο λογισμικό που είχε «φυτευτεί» στην ιστοσελίδα. Αυτή τη φορά, το κακόβουλο λογισμικό επρόκειτο να κλέψει προσωπικές πληροφορίες των χρηστών. Και αυτό το περιστατικό αναφέρθηκε στους ιδιοκτήτες του ιστότοπου.
Επί του παρόντος, ο ιστότοπος δεν «φιλοξενεί» αυτό το κακόβουλο λογισμικό.