Plataforma de malware como serviço atingiu 400 mil usuários e organizações em todo o mundo

GestãoSegurançaVírus

A Equipe de Pesquisa e Análise Global da Kaspersky Lab publicou uma ampla pesquisa sobre o Adwind RAT (Remote Access Tool), um programa de malware multifuncional compatível com várias plataformas também conhecido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, distribuído por meio de uma única plataforma de malware como serviço.

De acordo com os resultados da investigação, realizada entre 2013 e 2016, diferentes versões do malware Adwind foram usadas em ataques contra ao menos 443 mil usuários privados, organizações comerciais e não comerciais do mundo inteiro. A plataforma e o malware continuam ativos.

No final de 2015, os pesquisadores da Kaspersky Lab notaram um programa de malware incomum que foi descoberto durante uma tentativa de ataque direcionado contra um banco em Cingapura. Um arquivo JAR malicioso foi anexado a um email de phishing recebido por um funcionário do banco. As avançadas funcionalidades do malware, como sua capacidade de execução em diversas plataformas, além do fato de não ser detectada por nenhuma solução antivírus, chamou a atenção dos pesquisadores.

Constatou-se que a organização tinha sido atacada pelo Adwind RAT, um backdoor disponível para compra totalmente desenvolvido em Java, o que o torna compatível com várias plataformas. Ele pode ser executado no Windows, OS X, Linux e Android, fornecendo recursos de controle de área de trabalho remota, coleta de dados, extração de dados etc.

Se a vítima abrir o arquivo JAR do anexo, o malware se instala automaticamente e tenta se comunicar com o servidor de comando e controle. Embora seja usado principalmente por criminosos oportunistas e distribuído em grandes campanhas de spam, em alguns casos, o Adwind foi usado em ataques direcionados.

Uma das principais características que distingue o Adwind RAT de outros malware com finalidade comercial é sua distribuição aberta na forma de um serviço pago, onde o “cliente” desembolsa uma taxa para usar o programa malicioso. Com base em uma investigação da atividade dos usuários no quadro de mensagens interno e algumas outras observações, os pesquisadores da Kaspersky Lab estimam que, no final de 2015, havia cerca de 1.800 usuários no sistema. Essa é uma das maiores plataformas de malware existentes no momento.

Durante a investigação, os pesquisadores da Kaspersky Lab conseguiram analisar aproximadamente 200 exemplos de ataques de phishing organizados por criminosos desconhecidos para propagar o malware Adwind e identificaram os setores de atividade da maioria das vítimas:

– Industrial
– Financeiro
– Engenharia
– Design
– Varejo
– Governo
– Frete
– Telecomunicações
– Software
– Educação
– Produção de alimentos
– Serviços de saúde
– Imprensa
– Energia

Com base nas informações da Kaspersky Security Network, nos 200 exemplos de ataques de phishing observados durante os seis meses anteriores a agosto de 2015 e janeiro de 2016, amostras do malware Adwind RAT foram detectadas por mais de 68.000 usuários.

A distribuição geográfica dos usuários atacados registradas pela KSN nesse período mostra que quase metade (49%) encontrava-se em dez países: Emirados Árabes Unidos, Alemanha, Índia, EUA, Itália, Rússia, Vietnã, Hong Kong, Turquia e Taiwan.

A Kaspersky Lab apresentou suas descobertas sobre a plataforma Adwind às autoridades legais. Para proteger sua organização contra essa ameaça, a Kaspersky Lab recomenda que as empresas reavaliem a necessidade de usar a plataforma Java e a desabilitem para todas as fontes não autorizadas.


Clique para ler a bio do autor  Clique para fechar a bio do autor