Špijunski alat Adwind do sada inficirao 400000 računara

Opisi virusa, 10.02.2016, 01:00 AM

Ozloglašeni trojanski alat za daljinski pristup Adwind korišćen je u napadima protiv najmanje 400000 privatnih i poslovnih korisnika u sektoru finansija, obrazovanja i inženjeringa, kao i protiv državnih institucija širom sveta, upozorili su istraživači Kaspersky Laba.

U ponedeljak su istraživači ruske kompanije Vitalij Kamluk i Aleks Gostev pred prisutnima na samitu posvećenom bezbednosti koji se održava na Tenerifima, u Španiji, prezentovali zaključke do kojih su došli analizirajući RAT (Remote Access Tool) Adwind, koji je poznat i pod nazivima AlienSpy, Frutas, Unrecom, Socrat, JSocket i jRat. Adwind je RAT koji je razvijan nekoliko godina i distribuiran u obliku “malver kao servis” platforme. To znači da svako ko može da izdvoji između 25 i 300 dolara, može da koristi ovaj maliciozni alat za svoje potrebe.

Prema rečima istraživača, trojanac je u poslednje tri godine korišćen za napade na najmanje 443000 ciljeva, a i danas je aktivan. S obzirom da može da napada različite platforme (osim Windowsa, i OS X i Android) broj potencijalnih žrtava malvera je beskonačan.

RAT se šalje potencijalnim žrtvama kao payload u fišing emailovima. Ako žrtva otvori email atačment učitava se maliciozni AlienSpy JAR fajl, malver se instalira na računaru i pokušava da komunicira sa komandno-kontrolnim (C&C) serverom za dodatne instrukcije.

Malver može da beleži kucanje na tastaturi, da krade sačuvane lozinke i podatke unete u web forme, da pravi snimke ekrana, i da snima video, fotografije i zvuk pomoću mikrofona i web kamere računara. Pored toga, Adwind može da prebacuje fajlove bez žrtvinog znanja i pristanka, da prikuplja opšte informacije o sistemu i VPN sertifikate, da upravlja SMS sistemima na Androidu i da krade ključeve za pristup digitalnim novčanicima za kripto valutu kakva je bitcoin. Malver omogućava napadaču da komunicira sa žrtvom preko poruka.

Malver je obično bio primećen u spam kampanjama u kojima su se emailovi slali velikom broju korisnika, ali bilo je i slučajeva da je Adwind korišćen u napadima na birane žrtve. Tako je prošlog avgusta, trojanac bio povezan sa sumnjivom smrću argentinskog tužioca Alberta Nismana.

Malver je pronađen u njegovom smart telefonu u vreme njegove smrti, i to baš pre nego što je trebalo da objavi izveštaj o osudi argentinske vlade zbog navodnog prikrivanja terorističkog napada na zgradu argentisko-jevrejskog udruženja u Buenos Ajresu.

Još jedan poznati cilj malvera bila je jedna banka u Singapuru. Tokom tog napada istraživači Kaspersky Laba otkrili su ovu malicioznu platformu. Malver je korišćen maskiran u Java fajl u spear fišing emailu, koji je poslat na email adresu zaposlenog u banci.

Skoro polovina žrtava malvera je iz Ujedinjenih Arapskih Emirata, Nemačke, Indije, SAD, Italije, Rusije, Vijetnama, Hong Konga, Turske i Tajvana.

Adwind je veoma moćan špijunski alat koji je mnogo zanimljiviji nego što se to činilo na početku, kažu istraživači. Ispostavilo se da je malver razvijan nekoliko godina, a da prvi primerci malvera datiraju iz 2012. U različitim periodima, malver je imao različita imena: 2012. bio je poznat kao Frutas, 2013. kao Adwind, 2014. kao Unrecom i AlienSpy i 2015. kao JSocket.

Istraživači smatraju da iza Adwinda stoji samo jedna osoba, koja se stara o razvoju i podršci novih funkcija i modula. Moguće je da autor Adwinda angažuje druge ljude za neke poslove, ali izgleda da se svi ovi napori isplate jer prema proračunima istraživača Kaspersky Laba, malver bi godišnje mogao da donese zaradu od 200000 dolara.