La aplicación Ammyy Admin distribuye el ransomware Cerber durante horas
Si has descargado recientemente esta herramienta de control remoto y no has llegado a instalarla en tu sistema, la mejor opción es eliminar el ejecutable inmediatamente. Tras varias horas recibiendo reportes, varios expertos en seguridad han confirmado que la página web de la aplicación Ammyy Admin ha sido hackeada, distribuyendo durante varias horas una copia del ransomware Cerber.
En las últimas horas es cuando más reportes, en VirusTotal han concretado que desde el día 14 de este mismo mes hasta el día de hoy han sido varias las ocasiones en que los usuarios han enviado el instalador de Ammyy Admin para que sea examinado en busca de software malicioso, aportando resultados positivos como malware.
El mayor problema es que la distribución de este ransomware camuflado no ha sido continua, algo que ha descolocado a expertos y empresas de seguridad. Cuando procedían a verificar el instalador que se estaba distribuyendo este era de nuevo legítimo, ya que los responsables del software actuaban y retiraban el ransomware. Sin embargo, ahora sí que ha coincidido y se ha confirmado que durante los últimos días la página web de la herramienta Ammyy Admin ha distribuido en varias ocasiones el ransomware Cerber.
¿Cómo funciona este ataque?
En realidad, habría que destacar que el ejecutable original no se ha dejado de descargar en ningún momento, algo que ha dificultado un poco la detección de la amenaza y que los usuarios se diesen cuenta de lo que estaba sucediendo.
En otras palabras, mientras que los usuarios veían la descarga del archivo AA_v3.exe, al mismo tiempo comenzaba la descarga del archivo encrypted.exe, instalador de la copia de Cerber que se ejecutará de forma simultánea junto con la instalación de la herramienta.
De todas formas, hay que resaltar que en está ocasión ya es reiterativo y que no es la primera vez que los ciberdelincuentes se aprovechan de este sitio web para difundir un software malicioso. En lo que llevamos de año, han sido 6 las ocasiones en las que el sitio web de esta aplicación se ha visto atacada y por consiguiente los usuarios han estado descargando algún tipo de amenaza informática en sus equipos cuando ejecutaban el instalador del Ammyy Admin.
En este momento parece que los contenidos descargados desde este sitio web vuelven a ser legítimos y no contienen ningún tipo de software malicioso, sin embargo y como es normal, los expertos en seguridad recomiendan no recurrir al software de esta página web hasta que pasen un par de días y asegurar al 100% que los ataques han terminado.