Der bekannte Adwind RAT (Remote Access Trojan) wurde in neuen bösartigen Kampagnen gegen Ziele in der Versorgungswirtschaft im Einsatz. Die Angriffe werden über Spam-E-Mails durchgeführt, die potenzielle Opfer auf die böswillige Nutzlast umleiten.
Adwind RAT ermöglicht neue Malicious Kampagnen
Der Adwind RAT gibt es schon seit mehreren Jahren, und wurde unter Verbrechern als MaaS Modell verteilt. Kurz beschrieben,, es ist eine plattformübergreifende Malware mit multifunktionalen Fähigkeiten, die nur gegen einen bestimmten Preis verfügbar. Laut Kaspersky Lab Statistiken, Adwind wurde gegen mindestens entfalteten 443,000 Nutzer weltweit im Zeitraum zwischen 2013 und 2016, und die Zahl der Opfer hat sich definitiv seitdem vervielfacht.
Die aktuellen Adwind Kampagnen gezielt gegen Einheiten im Versorgungssektor. Tatsächlich, Cofense Forscher detektiert eine bestimmte Kampagne in nationaler Netzversorgungsinfrastruktur. Die bösartige E-Mail, dass die Forscher der Aufmerksamkeit gefangen kam von einem entführten Konto bei Friary Schuhen. Bedrohung Akteure missbraucht auch die Web-Adresse für Fletcher Specs die Malware hosten. Der Inhalt der E-Mail ist einfach und direkt auf den Punkt:
“Beigefügt ist eine Kopie unserer Überweisungsbescheid, die Sie verpflichtet sind, zu unterzeichnen und zurückzusenden.” An der Spitze der E-Mail ist ein eingebettetes Bild, das wie ein PDF-Dateianhang sehen gemeint ist, jedoch, eine JPG-Datei mit einem eingebetteten Hyperlink ist in der Tat. Wenn Sie auf die Opfer auf die Anlage, sie sind auf die Infektion URL hxxps gebracht://fletcherspecs[.]was[.]uk / die die ursprüngliche Nutzlast heruntergeladen.
In dieser E-Mail, es gibt eine JAR-Datei namens “Scan050819.pdf_obf.jar“, aber es ist bemerkenswert, dass die Bedrohung Akteure die Mühe nahm die Datei aussehen wie ein PDF zu machen. Sobald die Datei ausgeführt wird,, zwei Java-Exe-Prozesse sind, die Last zwei Class-Dateien erstellt. Die Malware kommuniziert dann mit Befehls- und Steuerserver.
Wie für seine bösartigen Funktionen, die Adwind RAT kann:
- Nehmen Sie Screenshots;
- Ernteanmeldeinformationen von Chrome, IE und Edge-;
- Besuchen Sie das Webcam, Video aufnehmen und fotografieren;
- Aufzeichnen von Audio vom Mikrofon;
- übertragen von Dateien;
- Sammeln Sie allgemeine System- und Benutzerinformationen;
- Steal VPN-Zertifikate;
- Dienen als Keylogger.
Die Malware ist auch in der Lage zu umgehen Erkennung durch die meisten Anti-Malware-Lösungen. Jedoch, Sandkasten- und verhaltensbasierte Programme sollten in der Lage sein, es zu erkennen.
Adwind war sehr aktiv in Masse angelegte Kampagnen in 2017 wenn Sicherheitsexperten von Kaspersky Labs entdeckt Angriffe auf mehr als 1,500 Organisationen in mindestens 100 Ländern. Die Angriffe wurden über gefälschte E-Mails gemacht verteilt zu schauen, wie E-Mails von HSBC Beratung-Service. Die mail.hsbcnet.hsbc.com wurde benutzt. Die E-Mail enthielt eine infizierte ZIP Befestigung von Malware als Nutzlast. Wenn geöffnet, die ZIP-Datei würde eine JAR-Datei zeigen, wie es der Fall mit der in diesem Artikel beschriebenen aktuellen Kampagne.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: