Le Adwind bien connu RAT (Remote Access Trojan) a été déployé dans de nouvelles campagnes malveillantes contre des cibles dans le secteur des services publics. Les attaques sont menées par des messages de spam qui redirigent les victimes potentielles à la charge utile malveillante.
Adwind RAT Active New Malicious Campagnes
Le Adwind RAT a été autour depuis plusieurs années, et a été distribué parmi les criminels comme modèle MaaS. Peu décrit, il est un malware multi-plateforme avec des capacités multifonctionnelles qui est disponible contre un certain prix. Selon les statistiques de Kaspersky Lab, Adwind a été déployée contre au moins 443,000 utilisateurs dans le monde dans la période comprise entre 2013 et 2016, et le nombre de victimes est certainement multiplié depuis lors.
Les campagnes actuelles Adwind sont ciblées contre des entités dans le secteur des services publics. En fait, chercheurs Cofense détecté une campagne spécifique dans l'infrastructure des services publics de réseaux nationaux. L'e-mail malveillant qui a attiré l'attention des chercheurs est venu d'un compte piraté à chaussures Friary. les acteurs de la menace également abusé de l'adresse Web pour Fletcher Spéc pour héberger les logiciels malveillants. Le contenu de l'e-mail sont simples et droites au point:
“Ci-joint une copie de notre avis de paiement que vous devez signer et retourner.” En haut de l'e-mail est une image intégrée qui est censé ressembler à un fichier joint PDF, cependant, est en fait un fichier jpg avec un lien hypertexte intégré. Lorsque les victimes cliquez sur la pièce jointe, ils sont amenés à la hxxps URL de l'infection://fletcherspecs[.]que[.]Royaume-Uni / où la charge utile initiale est téléchargée.
Dans cet e-mail, il y a un fichier .JAR nommé “Scan050819.pdf_obf.jar“, mais il est à noter que les acteurs de la menace ont pris l'effort pour rendre le look fichier comme un PDF. Une fois que le fichier est exécuté, deux processus .exe java sont créés qui charge deux fichiers .class. Le logiciel malveillant communique alors avec sa commande et le serveur de contrôle.
En ce qui concerne ses capacités malveillants, le Adwind RAT peut:
- Prenez des captures d'écran;
- lettres de créance de récolte Chrome, IE et Edge;
- Accédez à la webcam, enregistrer des vidéos et prendre des photos;
- Enregistrement audio du microphone;
- Transférer des fichiers;
- Recueillir système général et les informations utilisateur;
- Steal certificats VPN;
- Servir keylogger.
Le logiciel malveillant est également capable d'échapper à la détection par la plupart des solutions anti-malware. Cependant, bac à sable- et des programmes axés sur le comportement devraient être en mesure de le détecter.
Adwind était très actif dans les campagnes à l'échelle de masse en 2017 lorsque les chercheurs en sécurité de Kaspersky Labs attaques détectées sur plus de 1,500 organisations au moins 100 pays. Les attaques ont été distribuées par des e-mails falsifiés fait pour ressembler à des e-mails de service Conseils HSBC. La mail.hsbcnet.hsbc.com a été utilisé. Le courriel contenait une pièce jointe infectée postal portant malware comme une charge utile. Si ouvert, le fichier .zip révélerait un fichier JAR, comme cela est le cas avec la campagne actuelle décrite dans cet article.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: