Киберпреступники использовали сайт Ammyy Admin для распространения вредоноса под видом легитимного софта.

Специалисты из компании ESET выяснили, что в середине июня пользователи, скачавшие с ресурса программу для удаленного доступа к компьютеру, получили вместе с ней многоцелевого трояна Win32/Kasidet. 

С его помощью хакеры выкрали файлы с паролями и другими данными авторизации криптовалютных кошельков и аккаунтов. Кроме того, троян искал процессы по заданным именам. Специалисты отметили, что злоумышленники замаскировали вредоноса брендом Чемпионата мира по футболу.

Не в первый раз

Три года назад сайт ammyy.com уже использовался для распространения вредоносных программ. Тогда ESET подозревала кибергруппу Buhtrap. Недавняя атака, как отметил разработчик, имеет схожие черты с прошлым инцидентом.

Хотя тогда хакеры прибегали к нескольким вредоносам, в случае с единственным трояном они вновь использовали обфускацию (запутывание) кода. Она помогает избежать обнаружения. Второе сходство – идентичное имя вредоносного исполняемого файла – Ammyy_Service.exe.