De bekende Adwind RAT (Remote Access Trojan) is ingezet in nieuwe kwaadaardige campagnes tegen doelen in de nutssector. De aanvallen worden uitgevoerd via spam-e-mailberichten die potentiële slachtoffers doorverwijzen naar de kwaadaardige lading uitgevoerd.
Adwind RAT Maakt nieuwe kwaadaardige campagnes
De Adwind RAT is al een aantal jaren, en is verdeeld criminelen als model Maas. Kort beschreven, het is een cross-platform malware met multifunctionele mogelijkheden die alleen beschikbaar is tegen een bepaalde prijs. Volgens Kaspersky Lab statistieken, Adwind is ingezet tegen ten minste 443,000 gebruikers wereldwijd in de periode tussen 2013 en 2016, en het aantal slachtoffers heeft zeker vermenigvuldigd sindsdien.
De huidige Adwind campagnes zijn gericht tegen entiteiten in de nutssector. In feite, Cofense onderzoekers gedetecteerd een specifieke campagne in de nationale elektriciteitsnet nutsinfrastructuur. De kwaadaardige e-mail die de aandacht van de onderzoekers gevangen kwam uit een gekaapte account op Friary Shoes. Bedreiging acteurs misbruikt ook het webadres van Fletcher Specs om de malware te hosten. De inhoud van de e-mail zijn eenvoudig en straight to the point:
“Bijgevoegd is een kopie van onze afdracht adviezen die u moet ondertekenen en terug te keren.” Op de top van de e-mail is een ingesloten afbeelding die is bedoeld om te kijken als een PDF-bestand attachment, echter, is in feite een jpg-bestand met een ingesloten hyperlink. Wanneer slachtoffers klik op de bijlage, ze zijn aan de infectie URL hxxps gebracht://fletcherspecs[.]wat[.]uk / waar de initiële payload wordt gedownload.
In deze e-mail, er is een JAR-bestand met de naam “Scan050819.pdf_obf.jar“, maar het is opmerkelijk dat de dreiging acteurs nam de moeite om het bestand eruit ziet als een PDF te maken. Zodra het bestand is uitgevoerd, twee java .exe processen worden gemaakt welke belasting twee .class bestanden. De malware communiceert vervolgens met zijn command and control-server.
Zoals voor haar kwaadaardige mogelijkheden, de Adwind RAT kan:
- Neem screen shots;
- Harvest geloofsbrieven van Chrome, IE en Edge;
- Toegang tot de webcam, video-opnamen en foto's nemen;
- Audio opnemen van de microfoon;
- bestanden overzetten;
- Verzamel algemeen stelsel en gebruikersinformatie;
- Steal VPN-certificaten;
- Dienen als een keylogger.
De malware is ook in staat onttrekken detectie door de meeste anti-malwareoplossingen. Echter, zandbak- en op gedrag gebaseerde programma's moeten in staat zijn om het te ontdekken.
Adwind was heel actief in de massa-schaal campagnes 2017 wanneer security onderzoekers van Kaspersky Lab ontdekt aanslagen op meer dan 1,500 organisaties in ten minste 100 landen. De aanvallen werden verspreid via vervalste e-mails gemaakt om te kijken als e-mails van HSBC advies Dienst. Het mail.hsbcnet.hsbc.com was gebruikt. De e-mail bevatte een geïnfecteerde ZIP attachment dragen malware als een payload. Als geopend, het ZIP-bestand zou een JAR-bestand te onthullen, zoals het geval is met de huidige campagne in dit artikel.