Nowy masowy atak przeprowadzony przy użyciu narzędzia zdalnego dostępu (RAT) o nazwie Adwind został odkryty przez badaczy z Kaspersky Lab. Ten wielofunkcyjny szkodliwy program został wykorzystany w atakach na ponad 1500 firm w ponad 100 państwach. Ataki objęły różne branże, w tym handel detaliczny i dystrybucję, architekturę i budownictwo, spedycję i logistykę, usługi ubezpieczeniowe i prawne oraz usługi doradztwa.
Jak przebiega atak?
Ofiary oprogramowania Adwind RAT otrzymują e-maile wysłane w imieniu serwisu doradczego HSBC (z domeny mail.hsbcnet.hsbc.com), zawierające w załączniku instrukcje dotyczące płatności. Według badania firmy Kaspersky Lab domena ta była aktywna już w 2013 roku.
Zamiast instrukcji załączniki zawierają szkodliwe oprogramowanie. Jeśli potencjalna ofiara otworzy załączony plik ZIP, który kryje plik JAR, szkodliwe oprogramowanie zainstaluje się automatycznie w systemie i będzie próbowało komunikować się ze swoim serwerem kontroli. Szkodnik pozwala atakującemu przejąć niemal pełną kontrolę nad zainfekowanym urządzeniem i kraść z niego poufne informacje.
Z rozkładu geograficznego atakowanych użytkowników zarejestrowanego przez chmurę Kaspersky Security Network (KSN) w badanym okresie wynika, że niemal połowa z nich (ponad 40%) znajduje się w następujących krajach: Malezja, Wielka Brytania, Niemcy, Liban, Turcja, Hongkong, Kazachstan, Zjednoczone Emiraty Arabskie, Meksyk, Rosja.
Według badaczy, w związku z dużym odsetkiem firm wśród ofiar, aby dobrać cele swoich ataków, przestępcy mogli wykorzystać listę mailingową dla określonej branży. Biorąc pod uwagę liczbę wykrytych ataków, koncentrowali się nie na wyrafinowanej technologii, ale na skali swoich działań. Do najczęściej atakowanych sektorów należą: sprzedaż detaliczna i dystrybucja, architektura i budownictwo, spedycja i logistyka, usługi ubezpieczeniowe i prawne, usługi doradztwa, przemysł chemiczny, organizacje rządowe, bankowość i finanse, usługi brokerskie, drobny przemysł.
Jedną z głównych cech wyróżniających narzędzie Adwind RAT spośród innych komercyjnych szkodliwych programów jest to, że jest on rozprzestrzeniany otwarcie w formie płatnej usługi, gdzie „klient” uiszcza opłatę za jego wykorzystywanie.
Badanie, które było prowadzone od 2013 do 2016 r., wskazało na wykorzystywanie różnych wersji szkodnika Adwind RAT w atakach na co najmniej 443 000 użytkowników prywatnych, jak również organizacje komercyjne i niekomercyjne na całym świecie.
