Kaspersky Lab scopre la piattaforma malware as-a-service Adwind
9 Febbraio 2016 | Max Capitosti
VIRUS ANDROID CERCA Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato una dettagliata ricerca sul Remote Access Tool (RAT) Adwind, un programma nocivo multi-piattaforma e multifunzionale anche conosciuto come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat che viene distribuito attraverso un'unica piattaforma malware-as-a-service. Secondo i risultati dell'indagine, condotta tra il 2013 e il 2016, diverse versioni del malware Adwind sono state usate in attacchi contro 443.000 obiettivi tra utenti privati, aziende commerciali e non in tutto il mondo. La piattaforma e il malware sono ancora attivi.
Alla fine del 2015, i ricercatori di Kaspersky Lab sono venuti a conoscenza di un insolito programma dannoso che era stato scoperto durante un tentativo di attacco mirato a una banca di Singapore. Un file JAR nocivo era stato allegato a un'email di spear-phishing ricevuta da un impiegato della banca. Le avanzate funzionalità del malware, comprese la sua capacità di funzionare su diverse piattaforme e la particolarità di non venire rilevato da alcuna soluzione antivirus, hanno immediatamente catturato l'attenzione dei ricercatori.
È stato scoperto che l'organizzazione era stata attaccata dal RAT Adwind, una backdoor facilmente acquistabile e che essendo completamente scritta in Java è multi-piattaforma. Può funzionare sulle piattaforme Windows, OS X, Linux e Android offrendo funzionalità per il controllo da remoto del desktop, la raccolta di informazioni, il furto di dati, e così via.
Se l'utente preso di mira apre il file JAR in allegato, il malware si installa automaticamente e prova a comunicare con il server di comando e controllo. L'elenco delle funzionalità del malware comprende la capacità di:
• Registrare le sequenze di tasti
• Rubare le password archiviate e ottenere informazioni dai moduli web
• Fare screenshot
• Fare foto e video dalla webcam
• Registrare i suoni dal microfono
• Trasferire file
• Raccogliere informazioni generali sul sistema e sull'utente
• Rubare le password per i wallet delle criptovalute
• Gestire i messaggi (per Android)
• Rubare i certificati VPN
Sebbene venga principalmente distribuito con campagne spam di massa, sono stati registrati casi in cui Adwind è stato usato per attacchi mirati. Ad esempio, ad agosto 2015 Adwind è stato citato nelle notizie sulla campagna di cyber spionaggio contro un pubblico ministero argentino che era stato trovato morto a gennaio 2015. Il caso della banca di Singapore è un altro esempio di attacco mirato e uno studio approfondito degli eventi legati all'utilizzo del RAT Adwind ha mostrato che questi attacchi mirati non sono stati gli unici.
Durante l'indagine, gli esperti di Kaspersky Lab sono stati in grado di analizzare quasi 200 esempi di attacchi di spear-phishing lanciati da criminali sconosciuti per diffondere il malware Adwind e hanno potuto identificare i settori maggiormente presi di mira:
• Industria manifatturiera
• Finanza
• Ingegneria
• Progetazione
• Vendita al dettaglio
• Governi
• Spedizioni
• Telecomunicazioni
• Sviluppo software
• Istruzione
• Produzione alimentare
• Salute
• Media
• Energia
Secondo le informazioni del Kaspersky Security Network, i 200 esempi di attacchi di spear-phishing osservati nei sei mesi tra agosto 2015 e gennaio 2016 hanno portato più di 68.000 utenti a incontrare campioni del malware RAT Adwind. La distribuzione geografica delle vittime degli attacchi registrati dal KSN durante il periodo in questione mostra che quasi la metà di loro (49%) vivevano nei seguenti 10 Paesi: Emirati Arabi Uniti, Germania, India, Stati Uniti, Italia, Russia, Vietnam, Hong Kong, Turchia e Taiwan.SEGUICI SU
FACEBOOKSEGUICI SU
TELEGRAM
Alla fine del 2015, i ricercatori di Kaspersky Lab sono venuti a conoscenza di un insolito programma dannoso che era stato scoperto durante un tentativo di attacco mirato a una banca di Singapore. Un file JAR nocivo era stato allegato a un'email di spear-phishing ricevuta da un impiegato della banca. Le avanzate funzionalità del malware, comprese la sua capacità di funzionare su diverse piattaforme e la particolarità di non venire rilevato da alcuna soluzione antivirus, hanno immediatamente catturato l'attenzione dei ricercatori.
È stato scoperto che l'organizzazione era stata attaccata dal RAT Adwind, una backdoor facilmente acquistabile e che essendo completamente scritta in Java è multi-piattaforma. Può funzionare sulle piattaforme Windows, OS X, Linux e Android offrendo funzionalità per il controllo da remoto del desktop, la raccolta di informazioni, il furto di dati, e così via.
Se l'utente preso di mira apre il file JAR in allegato, il malware si installa automaticamente e prova a comunicare con il server di comando e controllo. L'elenco delle funzionalità del malware comprende la capacità di:
• Registrare le sequenze di tasti
• Rubare le password archiviate e ottenere informazioni dai moduli web
• Fare screenshot
• Fare foto e video dalla webcam
• Registrare i suoni dal microfono
• Trasferire file
• Raccogliere informazioni generali sul sistema e sull'utente
• Rubare le password per i wallet delle criptovalute
• Gestire i messaggi (per Android)
• Rubare i certificati VPN
Sebbene venga principalmente distribuito con campagne spam di massa, sono stati registrati casi in cui Adwind è stato usato per attacchi mirati. Ad esempio, ad agosto 2015 Adwind è stato citato nelle notizie sulla campagna di cyber spionaggio contro un pubblico ministero argentino che era stato trovato morto a gennaio 2015. Il caso della banca di Singapore è un altro esempio di attacco mirato e uno studio approfondito degli eventi legati all'utilizzo del RAT Adwind ha mostrato che questi attacchi mirati non sono stati gli unici.
Durante l'indagine, gli esperti di Kaspersky Lab sono stati in grado di analizzare quasi 200 esempi di attacchi di spear-phishing lanciati da criminali sconosciuti per diffondere il malware Adwind e hanno potuto identificare i settori maggiormente presi di mira:
• Industria manifatturiera
• Finanza
• Ingegneria
• Progetazione
• Vendita al dettaglio
• Governi
• Spedizioni
• Telecomunicazioni
• Sviluppo software
• Istruzione
• Produzione alimentare
• Salute
• Media
• Energia
Secondo le informazioni del Kaspersky Security Network, i 200 esempi di attacchi di spear-phishing osservati nei sei mesi tra agosto 2015 e gennaio 2016 hanno portato più di 68.000 utenti a incontrare campioni del malware RAT Adwind. La distribuzione geografica delle vittime degli attacchi registrati dal KSN durante il periodo in questione mostra che quasi la metà di loro (49%) vivevano nei seguenti 10 Paesi: Emirati Arabi Uniti, Germania, India, Stati Uniti, Italia, Russia, Vietnam, Hong Kong, Turchia e Taiwan.SEGUICI SU
FACEBOOKSEGUICI SU
TELEGRAM
ULTIME NOTIZIE
Xiaomi Mix Flip - in arrivo a fine mese, in anteprima nuove immagini
Realme GT6 - una dotazione differente per la versione per il mercato della Cina
Redmi 13 5G - nuovo smartphone con Snapdragon 4 Gen 2 e fotocamera da 108MP
Oppo lancia i nuovi Reno 12 F 5G e Reno 12 FS 5G in Italia
OnePlus svela nuovi dettagli sulle novità in arrivo il 16 luglio
Vodafone - insieme a Meta per ottimizzare l'efficienza della rete
Nothing CMF Phone 1 - lo smartphone 5G economico con retro personalizzabile
OnePlus svela la gamma di prodotti per il Summer Launch Event del 16 luglio
Realme C61 - ufficiale il nuovo entry-level con resistenza a polvere e acqua IP54
Vivo Y28s 5G - ufficiale il nuovo smartphone di fascia media
Realme 12 4G - chip Snapdragon 685 e schermo OLED per la nuova variante senza 5G
Apple estende il software di diagnostica Self Service Repair in Europa