Anche il software originale può nascondere pericolosi trojan

Scoperta Kaspersky Lab: software legittimo per l’accesso da remoto usato per diffondere il Trojan del gruppo Lurk

Durante le ricerche sul pericoloso Trojan bancario Lurk, gli esperti di sicurezza di Kaspersky Lab hanno scoperto che i criminali dietro a questo malware usavano un software legittimo a scopo d’infezione.

Mentre gli ignari utenti installavano un software legittimo per l’accesso da remoto dal sito ufficiale di uno sviluppatore software (ammyy.com), i loro dispositivi venivano inconsapevolmente infettati da malware.

Il gruppo Lurk, che usava usava l’omonimo trojan multilayer, è stato arrestato in Russia all’inizio di giugno 2016. Grazie a questo malware, il gruppo è riuscito a rubare da remoto 45 milioni di dollari (3 miliardi di rubli[1]) da banche, istituzioni finanziarie e aziende del Paese.

Per diffondere il malware usavano diverse tecniche nocive, compresi gli attacchi watering hole, in cui un software legittimo viene hackerato e infettato tramite exploit che colpiranno quindi il PC della vittima con malware. Uno degli esempi di attacco watering hole condotto da Lurk è particolarmente interessante perché non coinvolge exploit, ma soltanto un software legittimo.

Conducendo un’analisi tecnica di Lurk, gli esperti di Kaspersky Lab hanno notato un fattore interessante: molte delle vittime del malware avevano installato sui loro computer il tool di desktop remoto Ammyy Admin. Questo tool è abbastanza diffuso tra gli amministratori di sistema aziendali, in quanto permette loro di lavorare con l’infrastruttura IT dell’organizzazione da remoto. Ma qual è il collegamento tra il tool e il malware?

Per rispondere a questa domanda, gli esperti di Kaspersky Lab sono andati sul sito ufficiale di Ammyy Admin e hanno provato a scaricare il software. Ci sono riusciti, ma l’analisi del software scaricato dal sito ha mostrato che insieme al tool legittimo di accesso da remoto, veniva scaricato anche il trojan Lurk. L’idea dietro a questa strategia è evidente: la vittima difficilmente notava l’installazione del malware perché, per via della sua natura, il software per l’accesso da remoto viene considerato da alcune soluzioni anti-virus nocivo o pericoloso.

Considerando che gli specialisti dei servizi IT all’interno delle aziende non pongono sempre l’attenzione necessaria agli avvisi delle soluzioni di sicurezza, molti, se rilevato da una soluzione AV, l’avrebbero trattato come un falso positivo. Gli utenti, dunque, non si accorgevano che il malware veniva scaricato e installato sulla loro macchina.

Secondo i dati di Kaspersky Lab, il trojan Lurk è stato diffuso attraverso ammyy.com dall’inizio di febbraio 2016. I ricercatori dell’azienda credono che i criminali abbiano sfruttato le debolezze del sistema di sicurezza del sito di Ammyy Admin per aggiungere il malware all’archivio di installazione del software di accesso remoto. Gli esperti di Kaspersky Lab hanno informato i proprietari del sito dell’incidente immediatamente dopo la sua scoperta e sembra che abbiano risolto il problema.

Tuttavia, all’inizio di aprile 2016 è stata registrata sul sito di Ammyy un’altra versione del trojan Lurk. Questa volta i criminali hanno iniziato a diffondere un trojan lievemente modificato, che controllava immediatamente se il computer della vittima fosse parte del network aziendale. Il malware veniva quindi installato solamente in caso di conferma della presenza del network aziendale, rendendo gli attacchi più mirati.

Gli esperti di Kaspersky Lab hanno riferito nuovamente questa attività sospetta e hanno ricevuto la risposta dell’azienda che affermava di aver risolto il problema. Tuttavia, il 1° giugno abbiamo rilevato il trojan Fareit, un nuovo malware che era stato impiantato sul sito. Questa volta il malware aveva lo scopo di rubare le informazioni personali degli utenti. Anche questa scoperta è stata riferita ai proprietari del sito.

Attualmente il sito non contiene questo malware.

“Usare software legittimi per scopi criminali è una tecnica di diffusione dei malware molto efficace. In primo luogo, perché i cyber criminali sono in grado di sfruttare la percezione da parte degli utenti della sicurezza del software legittimo che stanno scaricando. Effettuando il download e installando il software da sviluppatori conosciuti, gli utenti non pensano alla possibilità che potrebbero essere presenti allegati nocivi. Questo rende molto più semplice per i cyber criminali raggiungere i propri obiettivi e accrescere significativamente il numero delle vittime”, ha avvertito Vasily Berdnikov, Malware Analyst di Kaspersky Lab.

Per ridurre il rischio di questo genere di attacco, i servizi IT dovrebbero venire costantemente controllati alla ricerca di vulnerabilità all’interno delle loro organizzazioni e gestirle implementando soluzioni di sicurezza affidabili e una maggiore consapevolezza della sicurezza informatica tra gli impiegati.

I prodotti Kaspersky Lab rilevano il malware precedentemente citato come Trojan-Spy.Win32.Lurk e Trojan-PSW.Win32.Fareit e impediscono la sua installazione dal sito ammyy.com. Consigliamo alle organizzazioni di controllare i propri network alla ricerca di questo malware.

Sono disponibili maggiori informazioni e specifiche dell’attacco nel blogpost su Securelist.com.

Una descrizione dettagliata delle funzionalità del trojan Lurk può essere trovata qui.