وب‌گاه ابزار Ammyy، مکانی مناسب برای پخش تروجان Lurk

کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان به‌طور قطع می‌دانند برنامه‌های ضدویروسی Ammyy در برابر تهدیدهای رخ‌داده به‌خوبی عمل نمی‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌گفته محققان آزمایشگاه مجرمان فعال در فضای مجازی با حمله و نفوذ به وب‌سایت رسمی ابزار مدیریت از راه دور معروف Ammyy، اقدام به واردکردن تروجان بانکداری Lurk و چندین برنامه مخرب دیگر به این وب‌سایت کرده‌اند. 

Lurk که یک تروجان بانکداری است، سابقاً برای حمله به شرکت‌های مالی روسی و همچنین چندین سازمان دیگر مورد استفاده قرار گرفته‌است. این تروجان از پنج‌سال پیش فعالیت خود را شروع کرده‌است و کارشناسان تخمین می‌زنند که گروه‌های فعالیت‌های غیرقانونی در فضای مجازی با استفاده از این تروجان حدود ۴۵میلیون دلار را به جیب زده باشند.

مقامات روسی نیز به تازگی ۵۰ نفر را که مظنون به استفاده از این تروجان هستند بازداشت‌کرده‌اند. طبق شنیده‌ها این بازداشت‌ها در کار کیت بهره‌برداری Angler نیز بی‌تأثیر نبوده‌است و باعث توقف فعالیت این کیت شده‌است.

تروجان Lurk معمولاً با استفاده از حملات watering hole وارد سامانه‌ها می‌شود. در این نوع حمله، یک وب‌سایت رسمی مورد حمله واقع و بدافزار به آن وارد می‌شود. در بسیاری از موارد، نفوذگران از کیت‌های بهره‌برداری برای وارد کردن بدافزار استفاده می‌کنند، اما کارشناسان کشف کردند که در این مورد، یک نرم‌افزار برای این منظور مورد استفاده واقع‌ شده‌است.

محققان آزمایشگاه Kaspersky در این خصوص دریافتند که کاربران مورد حمله این تروجان، ابزار مدیریت از راه دور Ammyy را در رایانه‌های خود نصب ‌کرده‌اند. بررسی‌های بیشتر نشان داد که این تروجان در ابتدا در قالب یک پرونده با نام ammyysvc.exe در کنار برنامه نصب Ammyy و از وبگاه رسمی این برنامه، از اینترنت دریافت شده‌است.

محققان اولین‌بار در فوریه ۲۰۱۶ این تروجان را در وب‌سایت Ammyy مشاهده کردند. طراحان ابزار Ammyy بلافاصله در جریان قرار گرفتند و اقدام به پاک‌سازی وب‌سایت رسمی خود از این تروجان کردند، اما طراحان تروجان Lurk بار دیگر در آوریل اقدام به استفاده از این وب‌سایت کرده و نسخه تغییریافته تروجان Lurk را که برای حمله به شبکه‌های شرکتی مناسب بود وارد بخش‌های مختلف کردند. هنوز مشخص نشده‌است که طراحان این تروجان پس از پاک‌سازی وب‌سایت Ammyy به چه طریقی دوباره به آن دسترسی پیدا کرده‌اند، اما مشخص است که یا دسترسی آنها حتی پس از پاک‌سازی برقرار بوده‌است یا دوباره اقدام به حمله و نفوذ به وب‌سایت کرده‌اند.

مسئولان شرکت Ammyy پس از این اتفاق بار دیگر اقدام به پاک‌سازی وب‌سایت شرکت خود کردند، اما محققان مدتی بعد در یکم ژوئن دریافتند که این‌بار این وب‌سایت مورد حمله تروجان Fareit قرار گرفته‌است. طراحان شرکت Ammyy به‌تازگی بار دیگر اقدام به پاک‌سازی وب‌سایت خود از بدافزارها کرده‌اند و تاکنون خبر جدیدی از حمله جدید تروجان‌ها مخابره نشده‌است.

کارشناسان در این باره معتقدند که مجرمان حوزه فضای مجازی اساس کار خود را بر این قرار داده‌اند که مدیران در خصوص بروز تهدید در مورد محصولات شرکت‌ها، واکنش خاصی را نشان نمی‌دهند. کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان به‌طور قطع می‌دانند برنامه‌های ضدویروسی Ammyy در برابر تهدیدهای رخ‌داده به‌خوبی عمل نمی‌کنند، زیرا موارد متعددی مشاهده شده که در آنها این ابزار برای اهداف خرابکارانه مورد سوءاستفاده واقع ‌شده‌است.

محققان Kaspersky از ماه فوریه فعالیت‌های این تروجان را در وب‌سایت Ammyy تحت نظر دارند و این در حالی است که شرکت ESET طی یک گزارش اعلام‌کرد که در نوامبر ۲۰۱۵ نیز وب‌سایت Ammyy توسط یک گروه مجرم با نام Buhtrap مورد سوءاستفاده واقع‌ شده‌است. 

این گروه از این وب‌سایت برای پخش کردن انواع بدافزارها استفاده کرده که برنامه دریافت‌کننده تروجان Lurk یکی از این بدافزارها بوده که در ماه اکتبر در این وب‌سایت مشاهده ‌شده‌است. این وب‌سایت علاوه‌بر این، مورد استفاده گروه‌هایی مانند Corebot ،Buhtrap ،Ranbyus و Netwire بوده‌است. برخی منابع نیز گزارش داده‌اند که این وب‌سایت از جولای ۲۰۱۵ به مکانی برای گروه‌های جرائم فضای مجازی تبدیل‌ شده‌است.

واسیلی بردنیکوف، تحلیلگر بدافزارها در آزمایشگاه Kaspersky در این خصوص گفت: استفاده از نرم‌افزارهای رسمی برای اهداف غیرقانونی، یک روش مناسب برای پخش کردن بدافزارها در بخش‌های مختلف است. مجرمان فضای مجازی با استفاده از این روش، قبل از هر چیز می‌توانند انتظارات کاربران از امنیت یک نرم‌افزار رسمی را تحت شعاع قرار داده و از اطمینان آنها به شرکت‌ها و نرم‌افزارهای رسمی سوءاستفاده کنند. کاربران با دریافت و نصب یک نرم‌افزار از شرکت‌های طراحی معروف، دیگر تردیدی در مورد امنیت نرم‌افزار ندارند و تصوری هم مبنی بر مخرب بودن پرونده‌های جانبی آن نرم‌افزار نخواهند داشت. این مسئله خود باعث می‌شود که مجرمان به‌راحتی به اهداف خود دسترسی داشته‌باشند و از این طریق اهداف بیشتری را مورد حمله قرار دهند.