זהירות! האתר הרשמי של Ammyy Admin מפיץ תוכנות כופר

ESET

התוכנה לחיבור מרחוק של Ammyy Admin פופולארית בישראל בעיקר בקרב טכנאים, מנהלי רשתות ואנשי IT

ב- 24 שעות האחרונות הבחינו במחלקת התמיכה שלנו שגולשים שניסו להתקין את התוכנה לחיבור מרחוק מאתר Ammyy Admin נתקלו בניסיון להדבקה בתוכנת כופר המזוהה על ידי ESET כ- Filecoder.FJ. כך מזוהה האיום על ידי ESET:

התוכנה לחיבור מרחוק של Ammy Admin פופולארית בעיקר בקרב טכנאי מחשבים או שירותי תמיכה מרחוק, והממלצה שלנו היא להימנע בתוקף מהתקנת התוכנה, או מביקור באתר Ammy Admin, גם אם נתבקשתם לעשות זאת על ידי אדם או שירות תמיכה עליו אתם סומכים.

מתקפה מתמשכת

בחודש אפריל השנה, חשפה מעבדת הווירוסים העולמית של ESET מבצע סייבר רחב היקף נגד חברות ובנקים ברוסיה שקיבל את הכינו Opration Buhtrap. לפי ESET התוקפים העומדים מאחורי אותו מבצע הסייבר, עומדים גם מאחורי המתקפה על אתר Ammyy Admin שלמעשה החלה כבר בסוף אוקטובר האחרון.

לפי ESET המתקפה על אתר Ammy Admin החלה ב- 26 לאוקטובר, והנוזקה הראשונה שהופצה באמצעותו הייתה Lurk Downloader - תוכנה זדונית שיודעת להסוות את עצמה בתמונות, ומשמשת להורדה של נוזקות נוספות למחשב לבחירת התוקפים. לאחר מכן, ב- 29 באוקטובר החל האתר להפיץ את הנוזקה CoreBot, שמשמשת בעיקר לגניבת מידע, אולם יכולה לשמש גם להורדה של תוכנות כופר.

בשלב הבא שולבו נוזקות נוספות שמשמשות בעיקר לגניבה של מידע פיננסי מחברות ראיית חשבון, או ממחלקת ראיית החשבון הפנימית בחברות וארגונים. נוזקות אלו יודעות גם לשלוף מידע אודות התוכנות מותקנות על המחשב ואתרים שבהם מבקר המשתמש, כדי לאסוף מידע מקדים על המשתמש, ולנסות לצפות האם המתקפה תהיה "רווחית".

לאחר יומיים נוספים שולבה נוזקה נוספת המכונה Ranbyus, המסוגלת לגנוב פרטי כניסה אפילו לחשבונות בנק המוגנים באמצעות התקן אבטחה פיזי. ולבסוף שולבה נוזקה שמיועדת לגניבה של פרטי אשראי מחברות פיננסיות או קופות רושמות, ומסוגלת לפעול על מספר רב של מערכות הפעלה.