La Coppa del Mondo FIFA utilizzata come copertura per le comunicazioni tra i cybercriminali
I ricercatori di ESET hanno individuato una violazione ai danni di Ammyy Admin, che nella notte tra il 13 e 14 giugno scorsi è stato sfruttato per distribuire una versione del software infettata dal malware bancario Win32 / Kasidet. Per coprire le comunicazioni della loro rete malevola, i cybercriminali hanno sfruttato la Coppa del Mondo FIFA, utilizzando hxxp: // fifa2018start [.] Info / panel / tasks.php come URL del server di comando e controllo.
Kasidet è un bot venduto nel Dark Web ed utilizzato attivamente da vari gruppi di cybercriminali, che nella versione rilevata lo scorso giugno sul sito ammyy.com aveva due obiettivi principali: rubare file contenenti password o dati di accesso per portafogli di criptovaluta e riportare i processi che contengono nel nome alcune stringhe, tra cui bitcoin, kitty, multibit e xshell.
Ammyy.com non è nuovo a questo tipo di violazioni, dato che nell’ottobre 2015 il sito aveva iniziato a distribuire codici pericolosi collegati al gruppo di criminali informatici Buhtrap. I ricercatori di ESET hanno notato molteplici somiglianze con l’attacco di due anni fa: a quel tempo, gli hacker utilizzavano in modo illecito ammyy.com per distribuire numerose famiglie di malware, cambiandole quasi ogni giorno. Nel caso del 2018, i sistemi ESET hanno rilevato solo Win32 / Kasidet, ma la modalità di occultamento della payload è cambiata in tre occasioni, probabilmente per evitare il rilevamento da parte dei software di sicurezza. Un’altra similitudine tra i due incidenti è il nome identico del file che contiene la payload, ovvero Ammyy_Service.exe.
Gli esperti di ESET consigliano a tutte le potenziali vittime di adottare misure precauzionali e utilizzare una soluzione di sicurezza affidabile per verificare e disinfettare i propri dispositivi.