Massima allerta in questi giorni per un’efficacissimo intervento di hacking sul sito www.ammyy.com
Il sito ospita il software gratuito Ammyy, molto usato in tutto il mondo per effettuare attività di assistenza remota. L’eseguibile di pochi kbytes (con il nome Ammyy.exe oppure AA_v3.exe) viene scaricato ed avviato senza installazione, ed è spesso scelto dai tecnici informatici per connessioni spot.
A partire dal 16 settembre 2016 (data non confermata) il sito è stato compromesso, ed alcuni malintenzionati hanno sostituito l’eseguibile originale con uno modificato per effettuare automaticamente il download e l’installazione di un ransomware .
Il ransomware in questione è Cerber3, che cripta tutti i dati della vittima rinominando i files con estensione .cerber3 rendendoli illeggibili, e come tutti i ransomware crea in molte cartelle i files con le istruzioni per il pagamento del “riscatto”.
La forza “nascosta” di questo attacco è dovuta al fatto che l’eseguibile “pulito” veniva comunque riconosciuto come dannoso da molti antivirus, e non passava le verifiche smartscreen di Windows. L’utente era quindi costretto a disabilitare gli antivirus o i controlli smartscreen per poterlo avviare. La versione virata ha comunque campo libero per poter agire, ed inutile dirlo, al momento non esiste una soluzione per il recupero dei dati se non il ripristino di un backup effettuato prima dell’infezione.
Il sito di Ammyy non è nuovo a questi attacchi, e già nel dicembre 2015 l’eseguibile era stato intaccato con il cryptowall4.
La raccomandazione ovviamente è quella di evitare il download, e di porre sempre massima attenzione a questo genere di software, evitando forzature sui controlli antivirus per consentirne l’esecuzione a tutti i costi.
Sono fortunatamente al sicuro tutti quelli che avevano già scaricato l’eseguibile pulito e possono utilizzarlo senza (questi) problemi.