Lurk bankovní trojan je distribuován prostřednictvím zkompromitovaného Ammyy Admin webu

Ammyy Admin je analogové TeamViewer řešení, které umožňuje ovládat administraci klientských počítačů. Je používán hlavně Ruskými společnostmi a domácnostmi.

Výzkumníci z Kaspersky Labu objevili novou distribuční techniku bankovního trojana Lurk. Podle reportu, hackeři zkompromitovali webovou stránku Ruského Ammyy Admin nástroje pro vzdálenou administraci a doručili malware společně s legitimní aplikací do počítačů obětí.

Ammyy Admin je dodáván jako NSIS archiv, který obsahuje dva binární soubory:

aa_v3.exe – legitimní, digitálně podepsaný instalační program Ammyy Admin

ammyysvc.exe – trojan, detekovaný Kaspersky Labem jako Trojan-Spy.Win32.Lurk.

Je to už podruhé, co byl web Ammyy Admin napaden hackery a distribuuje malware. Předchozí incident se stal v listopadu 2015. Hackeři zkompromitovali web a lehce změnili PHP kód, zodpovědný za Ammyy Admin doručení. Nakonec oběť stáhla legitimní aplikaci společně s malwarem rozesílajícím soubory.

V současnosti stažený binární soubor AA_v3.exe je digitálně podepsaný a nevypadá, že by obsahoval kód, který může poškodit počítač.