Den velkendte Adwind RAT (Remote Access Trojan) har været indsat i nye ondsindede kampagner mod mål i bryggerset industrien. Angrebene foregår via spam e-mails, der omdirigerer potentielle ofre til ondsindede nyttelast.
Adwind RAT Aktiverer Ny Ondskabsfuld kampagner
Den Adwind RAT har eksisteret i flere år, og er blevet fordelt mellem kriminelle som en Maas model. kort beskrevet, det er en cross-platform malware med multifunktionelle evner som kun er tilgængelig mod en bestemt pris. Ifølge Kaspersky Labs statistik, Adwind er blevet indsat mod mindst 443,000 brugere globalt i perioden mellem 2013 og 2016, og antallet af ofre har afgjort ganget siden da.
De nuværende Adwind kampagner er målrettet mod virksomheder inden for forsyningssektoren. Faktisk, Cofense forskere opdaget en bestemt kampagne i national grid forsyningsvirksomheder infrastruktur. Den ondsindede e-mail, der har fanget forskernes opmærksomhed kom fra en kapret konto på Friary Sko. Threat aktører også misbrugt webadressen for Fletcher Specs at være vært for malware. Indholdet af e-mailen er enkle og lige til det punkt:
“Vedhæftet er en kopi af vores remittance rådgivning, som du skal underskrive og returnere.” På toppen af e-mailen er et integreret billede, der er beregnet til at ligne en vedhæftet PDF-fil, dog, er i virkeligheden en jpg-fil med et indlejret hyperlink. Når ofrene klikker på den vedhæftede fil, de er bragt til infektion URL hxxps://fletcherspecs[.]hvad[.]uk / hvor den oprindelige nyttelast downloades.
I denne e-mail, der er en .JAR fil med navnet “Scan050819.pdf_obf.jar“, men det er bemærkelsesværdigt, at truslen aktører tog en indsats for at gøre filen ligne en PDF. Når filen eksekveres, to java .exe processer er skabt som belastning to .class filer. Den malware kommunikerer derefter med sin kommando og kontrol-server.
Som for sine ondsindede kapaciteter, den Adwind RAT kan:
- Tag skærmbilleder;
- Harvest legitimationsoplysninger fra Chrome, IE og Edge;
- Få adgang til webcam, optage video og tage billeder;
- Optag lyd fra mikrofonen;
- Overfør filer;
- Saml generelle ordning og brugeroplysninger;
- Stjæl VPN-certifikater;
- Serveres som en keylogger.
Malware er også i stand unddrage påvisning af de fleste anti-malware løsninger. Men, sandkasse- og adfærdsbaserede programmer bør være i stand til at opdage det.
Adwind var ganske aktiv i masse-skala kampagner i 2017 når sikkerhedseksperter fra Kaspersky Labs opdaget angreb på mere end 1,500 organisationer i det mindste 100 lande. Angrebene blev distribueret via spoof emails lavet til at ligne e-mails fra HSBC Rådgivning service. Den mail.hsbcnet.hsbc.com var brugt. Den e-mail indeholdt en inficeret ZIP vedhæftet transporterer malware som en nyttelast. Hvis åbnet, .zip-filen ville afsløre en JAR-fil, som det er tilfældet med den aktuelle kampagne, der er beskrevet i denne artikel,.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: