2016/07/19

Ammyy Admin usado para espalhar malware


Um dos principais objectivos de um atacante é conseguir ganhar acesso remoto à máquina da vítima, e há alguns que o estão a fazer apanhando boleia de ferramentas que já cumprem essa função, como o Ammyy Admin.

O Ammyy Admin é uma ferramenta de acesso remoto bastante popular em ambientes empresariais (e não só), mas infelizmente tem sido vítima de ataques recorrentes por parte de hackers, que têm conseguido fazer com que o site oficial disponibilize aos visitantes versões do programa que vão acompanhadas por malware.

A táctica é muito bem conseguida, pois desta forma conseguem tornar muito mais difícil a detecção de um programa de acesso remoto (indesejado) que acompanha o programa de acesso remoto que se pretendia utilizar; minimizando as suspeitas para os eventuais avisos que os programas de anti-vírus sinalizarem. Afinal, os utilizadores estão de facto a instalar um programa que disponibiliza essas funcionalidades, e muito provavelmente estarão suficientemente confiantes para dizer que o programa é legítimo e que o anti-vírus/firewall/etc. o deverá ignorar e deixar funcionar à vontade.

Tudo isto potenciado pelo facto dos utilizadores estarem a descarregar o programa do site oficial, e de já não ser a primeira vez que o site do Ammyy tem sido infiltrado e usado para espalhar versões com malware. Como sempre, trata-se de procurar o ela mais fraco de toda a cadeia de segurança; e aqui parece que uma simples vulnerabilidade do seu site web tem criado uma excelente porta de entrada para ganhar acesso remoto a redes empresariais com enorme potencial para acesso a dados confidenciais.

Se estão a usar, já usaram, ou pretenderem vir a dar uso ao Ammyy Admin, fica o alerta para terem cuidados redobrados - e o mesmo se aplica a todo e qualquer outro programa de acesso remoto, que automaticamente se torna num candidato para ser alvo de ataques idênticos.

3 comentários:

  1. Deixei de usar assim que a página oficial "pedia" para fazer o download com outro browser. A aliar a isso, dois dias depois tinha o ESET a alertar.
    AnyDesk é uma boa alternativa gratuita. MSP Anywhere (antigo BeAnywhere) a melhor alternativa paga.

    ResponderEliminar
  2. logmein rescue é bem mais completo e ajuda na redução de custo a longo prazo

    ResponderEliminar
    Respostas
    1. Se for para pagar então que se pague por algo decente: MSP Anywhere (antigo BeAnywhere).

      Eliminar

[pub]