Podczas badania niebezpiecznego trojana bankowego o nazwie Lurk eksperci bezpieczeństwa z Kaspersky Lab odkryli, że stojący za tym szkodliwym oprogramowaniem przestępcy wykorzystali legalne oprogramowanie w celu infekowania swoich ofiar. Trojan był pobierany ze zhakowanej strony internetowej. Gang Lurk, który wykorzystywał wielowarstwowego trojana o tej samej nazwie, został aresztowany w Rosji na początku czerwca 2016 r. Z pomocą tego szkodnika cyberprzestępcy zdołali prawdopodobnie ukraść ponad 45 milionów dolarów z banków, innych instytucji finansowych oraz firm w tym kraju. Z danych Kaspersky Lab wynika, że trojan Lurk był rozprzestrzeniany za pośrednictwem strony ammy.com od pierwszych dni lutego 2016 r. Badacze uważają, że atakujący wykorzystali słabe punkty w systemie bezpieczeństwa strony Ammyy Admin, aby dodać tego szkodnika do archiwum instalacyjnego oprogramowania zdalnego dostępu. Eksperci z Kaspersky Lab poinformowali właścicieli strony o incydencie natychmiast po zauważeniu go i wszystko wskazywało na to, że problem został usunięty.
W celu rozprzestrzeniania szkodnika atakujący stosowali różne techniki, w tym tzw. atak „przy wodopoju” (ang. watering hole). Polega on na włamaniu się na legalną stronę internetową i zmodyfikowaniu jej tak, by komputer użytkownika otwierającego taką witrynę był automatycznie infekowany. Jeden z przykładów ataków przy wodopoju przeprowadzonych przez gang Lurk był szczególnie interesujący, ponieważ nie wykorzystywano w nim szkodliwych narzędzi, a legalne oprogramowanie.
Podczas prowadzenia analizy technicznej trojana Lurk eksperci z Kaspersky Lab dostrzegli interesującą prawidłowość – wiele ofiar tego szkodnika zainstalowało na swoich komputerach narzędzie zdalnej administracji Ammyy Admin. Narzędzie to jest dość popularne wśród administratorów systemów firmowych, ponieważ umożliwia im zdalną pracę z infrastrukturą IT swojej organizacji. Jaki jest jednak związek między tym narzędziem a szkodliwym oprogramowaniem?
Aby uzyskać odpowiedź na to pytanie, eksperci z Kaspersky Lab odwiedzili oficjalną stronę internetową Ammyy Admin i pobrali z niej oprogramowanie. Jego analiza wykazała, że oprócz „czystego”, legalnego narzędzia zdalnego dostępu został zainstalowany również trojan Lurk. Strategia, jaką stosowali przestępcy, jest zatem jasna: ofiara prawdopodobnie nie zauważy instalacji szkodliwego oprogramowania ze względu na charakter programu zdalnego dostępu, gdyż jest on traktowany przez niektóre rozwiązania antywirusowe jako potencjalnie niebezpieczny.
Wiedząc, że specjaliści IT w firmach nie zawsze zwracają uwagę na ostrzeżenia wyświetlane przez rozwiązania bezpieczeństwa, cyberprzestępcy z pewnością liczyli na to, że wielu potraktuje je jako fałszywy alarm. Sami użytkownicy nie zdawali sobie sprawy, że na ich maszynach zostało zainstalowane szkodliwe oprogramowanie.
Jednak na początku kwietnia 2016 r. na stronie internetowej Ammyy została wykryta kolejna wersja trojana Lurk. Tym razem oszuści zaczęli rozprzestrzeniać nieco zmodyfikowanego trojana, który automatycznie sprawdzał, czy komputer ofiary należy do sieci korporacyjnej. Szkodliwe oprogramowanie było instalowane tylko wtedy, gdy udało się potwierdzić, że jest to sieć korporacyjna, przez co jego ataki były bardziej precyzyjne.
Eksperci z Kaspersky Lab tym razem również zgłosili tę szkodliwą aktywność, otrzymując odpowiedź od firmy, że problem został rozwiązany. Jednak 1 czerwca 2016 r. wykryto trojana Fareit – kolejne szkodliwe oprogramowanie, które zostało umieszczone na tej stronie internetowej. Tym razem celem szkodnika była kradzież osobistych informacji użytkowników. Również to odkrycie zostało zgłoszone właścicielom strony i obecnie nie zawiera ona już tego szkodliwego oprogramowania.
W celu złagodzenia ryzyka tego rodzaju ataków specjaliści ds. IT powinni nieustannie sprawdzać występowanie luk w zabezpieczeniach wewnątrz organizacji, łącząc to z implementacją niezawodnych rozwiązań bezpieczeństwa i podnoszeniem świadomości cyberbezpieczeństwa wśród pracowników.
