Il noto Adwind RAT (Remote Access Trojan) è stato distribuito in nuove campagne malevoli contro obiettivi nel settore utility. Gli attacchi sono effettuati tramite messaggi di spam di posta elettronica che reindirizzano le potenziali vittime per il payload maligno.
Adwind RAT consente nuove dannosi Campagne
L'Adwind RAT è stato intorno per molti anni, ed è stato distribuito tra i criminali come modello MAAS. Poco descritta, esso è un malware multi-piattaforma con funzionalità multifunzionali che è disponibile solo nei confronti di un certo prezzo. Secondo le statistiche di Kaspersky Lab, Adwind è stato schierato contro almeno 443,000 gli utenti a livello globale nel periodo compreso tra 2013 e 2016, e il numero delle vittime è sicuramente moltiplicati da allora.
Gli attuali campagne Adwind sono mirati contro entità nel settore delle utilities. Infatti, ricercatori Cofense rilevato una campagna specifica in infrastrutture nazionali utilities di rete. L'e-mail dannoso che ha attirato l'attenzione dei ricercatori è venuto da un account dirottato le scarpe Friary. attori minaccia anche abusato l'indirizzo web per Fletcher Specifiche per ospitare il malware. Il contenuto della e-mail sono semplici e dritto al punto:
“In allegato è una copia della nostra avviso di pagamento, che si sono tenuti a firmare e restituire.” Nella parte superiore del messaggio di posta elettronica è un'immagine incorporata che è destinata a guardare come un file allegato PDF, tuttavia, è in realtà un file jpg con un collegamento ipertestuale incorporato. Quando le vittime cliccare sull'allegato, sono portati ai hxxps URL infezione://fletcherspecs[.]cosa[.]uk / dove viene scaricato il carico utile iniziale.
In questa e-mail, c'è un file JAR di nome “Scan050819.pdf_obf.jar“, ma è da notare che gli attori minaccia ha preso lo sforzo di rendere l'aspetto del file come un PDF. Una volta che il file viene eseguito, due processi .exe java sono creati che vengono caricati due file .class. Il malware comunica poi con il suo server di comando e controllo.
Per quanto riguarda le sue capacità dannosi, l'Adwind RAT può:
- Prendere schermate;
- le credenziali Harvest da Chrome, IE ed Edge;
- Accedere alla webcam, registrare video e scattare foto;
- Registrare audio dal microfono;
- trasferimento di file;
- Raccogliere sistema generale e le informazioni utente;
- Ruba i certificati VPN;
- Servire come un keylogger.
Il malware è anche in grado di rilevare sfuggire dalla maggior parte delle soluzioni anti-malware. Tuttavia, sandbox- e programmi basati sul comportamento dovrebbero essere in grado di rilevarla.
Adwind era molto attiva in campagne di massa su scala in 2017 quando i ricercatori di sicurezza di Kaspersky Labs rilevati attacchi su più di 1,500 organizzazioni in almeno 100 paesi. Gli attacchi sono stati distribuiti tramite e-mail fasulli fatti per assomigliare email da HSBC Servizio Consulenza. Il mail.hsbcnet.hsbc.com era usato. L'e-mail contiene un allegato ZIP infetto che trasporta il malware come un carico utile. Se aperto, il file .zip rivelerebbe un file JAR, come è il caso della campagna corrente descritto in questo articolo.