Inicio de zonavirus, antivirus
SATINFO

Se propaga una versión maliciosa del software Ammy Admin

msc hotline sat
sábado, 14 de julio de 2018

Se propaga una versión maliciosa del software Ammy Admin

I

Durante los días 13 y 14 de junio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso.







Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.



Este malware tenía dos objetivos principales:



1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:



pass.txt

passwords.txt

wallet.dat

bitcoin



2. Reportar procesos que incluyan alguna de las siguientes características:

armoryqt

bitcoin

exodus

electrum

jaxx

keepass

kitty

mstsc

multibit

putty

radmin

vsphere

winscp

xshell



La URL del C&C está detectada en VT por 8/67 antivirus:

https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection



Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.

Instaladores:

6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27

6FB4212B81CD9917293523F9E0C716D2CA4693D4

675ACA2C0A3E1EEB08D5919F2C866059798E6E93

Servicio:

EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9

9F9B8A102DD84ABF1349A82E4021884842DC22DD

4B4498B5AFDAA4B9A2A2195B8B7E376BE10



No es la primera noticia de las que hemos hablado en Una al día sobre alteración de un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:

Malware hallado en el repositorio AUR de Arch Linux

Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.



Recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.





Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/07/se-propaga-una-version-maliciosa-del.html

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto