FlawedAmmyy
O FlawedAmmyy é uma ameaça de malware observada em 2016 e associada a ataques realizados em abril de 2019 pelo TA505, um APT (Ameaça Persistente Avançada) conhecido, um grupo criminoso responsável por inúmeras campanhas de malware de alto perfil. O FlawedAmmyy é uma ameaça de malware de backdoor que permite que os criminosos tenham acesso ao computador de destino. Esse acesso pode ser usado para realizar uma ampla variedade de ataques, permitindo que criminosos controlem o computador infectado de um local remoto. O malware FlawedAmmyy é baseado em software que pode ser usado para fins legítimos, como para diagnóstico remoto e suporte técnico, essencialmente permitindo que o usuário assuma o controle de um computador a partir de um local remoto. No entanto, isso foi armado no FlawedAmmyy, o que permite que os criminosos controlem os dispositivos das vítimas automaticamente.
Índice
Por Que os RATs como o FlawedAmmyy são Ameaçadores
O FlawedAmmyy, um RAT ou Remote Access Tool, está em uso para fins inseguros desde pelo menos 2016. O FlawedAmmyy fazia parte de uma campanha de distribuição de malware que envolveu campanhas massivas de malware com milhões de emails enviados em todo o mundo. Os ataques do FlawedAmmyy têm sido usados para direcionar várias instituições específicas e setores financeiros, como a indústria automotiva ou bancos. Os ataques do FlawedAmmyy têm sido associados ao TA505, que está ativo desde pelo menos 2014. As principais campanhas associadas aos ataques do FlawedAmmyy foram observadas em março de 2019. Criminosos conseguiram enganar as vítimas para baixar e instalar o FlawedAmmyy usando anexos de URL corrompidos. As vítimas receberiam mensagens de e-mail de spam com endereços de e-mail falsificados contendo conteúdo de engenharia social altamente convincente para convencer os usuários de computador a baixar e instalar o FlawedAmmyy. O FlawedAmmyy também tem sido usado pelo TA505 para segmentar indústrias específicas, usando e-mails de phishing que são mais cuidadosamente adaptados para atacar indivíduos específicos, além de campanhas disseminadas por e-mail.
Embora o Ammyy Admin seja um Programa Legítimo, Ele é Usado Incorretamente
Os desenvolvedores do FlawedAmmyy basearam essa ameaça de malware no programa Ammyy Admin Remote Desktop. O código-fonte da terceira versão deste programa vazou, permitindo que os criminosos o personalizassem e o usassem. O FlawedAmmyy tem as seguintes configurações em comum com o Ammyy:
Controle de área de trabalho remota
Gerenciador de sistema de arquivos
Suporte de proxy
Chat de áudio
Os pesquisadores de segurança também observaram strings no FlawedAmmyy que referenciam diretamente a versão legítima desse programa. O Ammyy Admin é um programa legítimo que pode ser usado para lidar com várias tarefas, o que pode exigir o acesso a um dispositivo de um local remoto. A criação de uma versão corrompida dessa ameaça não era grande, pois envolvia apenas encontrar formas de entregá-la e instalá-la automaticamente. Uma vez que o FlawedAmmyy foi instalado, os criminosos podem ter controle total sobre um dispositivo de computador. Isso pode permitir que eles coletem informações de aplicativos, instalem outros malwares ou usem os periféricos do dispositivo, como câmera e microfone, para monitorar seus arredores. Dispositivos infectados com o FlawedAmmyy também podem ser destruídos pelos criminosos, que podem limpar seu conteúdo e corromper seus discos para torná-los inutilizáveis. Ameaças como o FlawedAmmyy são extremamente ameaçadoras e os usuários de computador são aconselhados a tomar precauções para se protegerem contra essas e outras ameaças de malware.
Protegendo o Seu Computador contra Ameaças como o FlawedAmmyy
A melhor proteção contra ameaças como o FlawedAmmyy é ter um programa anti-malware para interceptar sua instalação. No entanto, como essas ameaças são distribuídas principalmente por meio de anexos de e-mail de spam, aprender a reconhecer essas táticas e reagir apropriadamente é uma parte essencial da prevenção desses ataques. Os usuários de PC devem evitar a abertura de anexos e mensagens de e-mail não solicitados, que muitas vezes podem ser usados para entregar não apenas o FlawedAmmyy, mas também inúmeras outras ameaças de malware.