O conhecido poços Adwind RATO (Acesso remoto Trojan) foi implantado em novas campanhas maliciosas contra alvos no setor de serviços públicos. Os ataques são realizados por meio de mensagens de e-mail de spam que redirecionam as vítimas potenciais à carga maliciosa.
Adwind RAT permite novas campanhas maliciosas
O Adwind RAT existe há vários anos, e foi distribuído entre os criminosos como um modelo MaaS. pouco descrito, é um malware de plataforma cruzada com recursos multifuncionais que só está disponível por um determinado preço. De acordo com as estatísticas da Kaspersky Lab, Adwind foi implantado contra pelo menos 443,000 usuários globalmente no período entre 2013 e 2016, e o número de vítimas definitivamente se multiplicou desde então.
As campanhas atuais da Adwind são direcionadas a entidades do setor de serviços públicos. De fato, Pesquisadores da Cofense detectou uma campanha específica na infraestrutura nacional de serviços públicos. O e-mail malicioso que chamou a atenção dos pesquisadores veio de uma conta sequestrada da Friary Shoes. Os atores da ameaça também abusaram do endereço da web do Fletcher Specs para hospedar o malware. O conteúdo do e-mail é simples e direto ao ponto:
“Em anexo está uma cópia de nosso aviso de remessa, que você deve assinar e devolver.” No topo do e-mail está uma imagem incorporada que deve se parecer com um arquivo PDF anexo, Contudo, é na verdade um arquivo jpg com um hiperlink embutido. Quando as vítimas clicam no anexo, eles são trazidos para o URL de infecção hxxps://fletcherspecs[.]co[.]uk / onde a carga inicial é baixada.
Neste email, há um arquivo .JAR chamado “Scan050819.pdf_obf.jar“, mas é digno de nota que os atores da ameaça se esforçaram para fazer o arquivo parecer um PDF. Uma vez que o arquivo é executado, dois processos java .exe são criados, os quais carregam dois arquivos .class. O malware então se comunica com seu servidor de comando e controle.
Quanto às suas capacidades maliciosas, o Adwind RAT pode:
- Faça capturas de tela;
- Colete credenciais do Chrome, IE e Edge;
- Acesse a webcam, gravar vídeo e tirar fotos;
- Grave áudio do microfone;
- Transferir arquivos;
- Colete informações gerais do sistema e do usuário;
- Roubar certificados VPN;
- Servir como um keylogger.
O malware também é capaz de escapar da detecção pela maioria das soluções anti-malware. Contudo, caixa de areia- e programas baseados em comportamento devem ser capazes de detectá-lo.
A Adwind foi bastante ativa em campanhas em grande escala em 2017 quando os pesquisadores de segurança da Kaspersky Labs detectaram ataques em mais de 1,500 organizações em pelo menos 100 países. Os ataques foram distribuídos por meio de e-mails falsos feitos para se parecerem com e-mails do HSBC Advising Service. o mail.hsbcnet.hsbc.com foi usado. O e-mail continha um anexo ZIP infectado com malware como carga útil. Se abriu, o arquivo .zip revelaria um arquivo JAR, como é o caso da campanha atual descrita neste artigo.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: