El conocido Adwind RAT (Remote Access Trojan) se ha desplegado en las nuevas campañas maliciosas contra objetivos en el sector de servicios públicos. Los ataques se llevan a cabo a través de mensajes de correo electrónico de spam que redirigen a las posibles víctimas de la carga maliciosa.
Adwind RAT permite nuevas campañas maliciosos
El Adwind RAT ha existido durante varios años, y ha sido distribuido entre los criminales como un modelo MaaS. Descrito Poco, es un malware multiplataforma con capacidades multifuncionales que sólo está disponible en contra de un determinado precio. Según las estadísticas de Kaspersky Lab, Adwind se ha desplegado contra al menos 443,000 usuarios a nivel mundial en el período comprendido entre 2013 y 2016, y el número de víctimas se ha multiplicado desde entonces definitivamente.
Las actuales campañas Adwind están dirigidos contra entidades en el sector de servicios públicos. De hecho, investigadores Cofense detectado una campaña específica en la infraestructura nacional de servicios públicos de cuadrícula. El correo electrónico malicioso que llamó la atención de los investigadores provenía de una cuenta secuestrada en los zapatos Friary. actores de amenaza también abusa de la dirección web de Fletcher Especificaciones para albergar el software malicioso. El contenido del correo electrónico son simples y directo al grano:
“Se adjunta una copia de nuestro aviso de pago, que usted está obligado a firmar y devolver.” En la parte superior del correo electrónico es una imagen incrustada que está destinado a parecerse a un archivo adjunto PDF, sin embargo, es en realidad un archivo jpg con un hipervínculo incrustado. Cuando las víctimas clic en el archivo adjunto, son llevados a los hxxps URL infección://fletcherspecs[.]lo[.]uk / donde se descarga la carga inicial.
En este correo electrónico, hay un archivo JAR llamado “Scan050819.pdf_obf.jar“, pero es de notar que los actores de amenazas tomaron el esfuerzo para hacer que el archivo como un PDF. Una vez que se ejecuta el archivo, dos procesos .exe Java se crean que se cargan dos archivos .class. El software malicioso se comunica con su servidor de comando y control.
En cuanto a sus capacidades maliciosos, la Adwind rata puede:
- Tomar capturas de pantalla;
- credenciales de cosecha de Chrome, IE y Edge;
- Acceder a la cámara web, grabar vídeo y tomar fotos;
- Grabación de audio desde el micrófono;
- Transferir archivos;
- Recoger general del sistema y la información del usuario;
- Robar certificados VPN;
- Servir como un keylogger.
El malware también es capaz de detección evadir por la mayoría de soluciones anti-malware. Sin embargo, salvadera- y los programas basados en el comportamiento deben ser capaces de detectarlo.
Adwind era bastante activo en las campañas a escala masiva en 2017 cuando los investigadores de seguridad de Kaspersky Lab detectan ataques en más de 1,500 organizaciones en al menos 100 países. Los ataques fueron distribuidos a través de emails falsos que eran réplicas del Servicio de Asesoramiento e-mails de HSBC. El mail.hsbcnet.hsbc.com se utilizó. El correo electrónico contiene un archivo adjunto infectado postal llevar el malware como una carga útil. Si se abre, el archivo .zip revelaría un archivo JAR, como es el caso de la actual campaña se describe en este artículo.