有名なAdwindRAT (リモートアクセス型トロイの木馬) 公益事業のターゲットに対する新しい悪意のあるキャンペーンに展開されました. 攻撃は、潜在的な被害者を悪意のあるペイロードにリダイレクトするスパム電子メールメッセージを介して実行されます.
AdwindRATは新しい悪意のあるキャンペーンを可能にします
AdwindRATは数年前から存在しています, MaaSモデルとして犯罪者に配布されています. 簡単に説明します, これは、特定の価格でのみ利用可能な多機能機能を備えたクロスプラットフォームマルウェアです。. KasperskyLabの統計によると, Adwindは少なくともに対して展開されています 443,000 間の期間に世界中のユーザー 2013 と 2016, それ以来、犠牲者の数は間違いなく倍増しています.
現在のAdwindキャンペーンは、公益事業セクターのエンティティを対象としています. 実際には, Cofenseの研究者 検出されました ナショナルグリッドユーティリティインフラストラクチャの特定のキャンペーン. 研究者の注意を引いた悪意のある電子メールは、FriaryShoesのハイジャックされたアカウントから送信されました. 攻撃者はまた、マルウェアをホストするためにFletcherSpecsのWebアドレスを悪用しました. メールの内容はシンプルでわかりやすい:
“添付されているのは、署名して返送する必要のある送金アドバイスのコピーです。” メールの上部には、PDFファイルの添付ファイルのように見える埋め込み画像があります, でも, 実際には、ハイパーリンクが埋め込まれたjpgファイルです. 被害者が添付ファイルをクリックすると, それらは感染URLhxxpsに持ち込まれます://fletcherspecs[.]co[.]uk/初期ペイロードがダウンロードされる場所.
このメールで, 名前の付いた.JARファイルがあります “Scan050819.pdf_obf.jar“, しかし、攻撃者がファイルをPDFのように見せるために努力したことは注目に値します。. ファイルが実行されると, 2つの.classファイルをロードする2つのjava.exeプロセスが作成されます. 次に、マルウェアはそのコマンドおよび制御サーバーと通信します.
その悪意のある能力に関しては, AdwindRATは:
- スクリーンショットを撮る;
- Chromeからクレデンシャルを収集する, IEとエッジ;
- ウェブカメラにアクセスする, ビデオを録画して写真を撮る;
- マイクからの音声を録音する;
- ファイルを転送する;
- 一般的なシステムおよびユーザー情報を収集する;
- VPN証明書を盗む;
- キーロガーとして機能する.
マルウェアは、ほとんどのマルウェア対策ソリューションによる検出を回避することもできます. でも, サンドボックス- 行動ベースのプログラムはそれを検出できるはずです.
Adwindは、 2017 KasperskyLabsのセキュリティ研究者が 1,500 少なくとも 100 国. 攻撃は、HSBCAdvisingServiceからの電子メールのように見せかけたなりすまし電子メールを介して配布されました。. The mail.hsbcnet.hsbc.com 使われた. 電子メールには、ペイロードとしてマルウェアを運ぶ感染したZIP添付ファイルが含まれていました. 開いた場合, .zipファイルはJARファイルを明らかにします, この記事で説明されている現在のキャンペーンの場合と同様に.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: