Connect with us

technokrata

Elképesztő, hogy mikre volt képes ez a rosszindulatú program

hacking

Dotkom

Elképesztő, hogy mikre volt képes ez a rosszindulatú program

A Kaspersky Lab GReAT csapata közzétett egy átfogó tanulmányt az Adwind Remote Access Tool (RAT) többplatformos, multifunkciós rosszindulatú programról, – AlienSpy, Frutas, Unrecom, Sockrat, JSocket és JRat néven is ismert –, amelyet egy malware-as-a-service platformon keresztül terjesztenek. A 2013 és 2016 között végzett nyomozás eredménye szerint az Adwind malware különböző verzióit használták legalább 443 000 privát felhasználó, valamint kereskedelmi és nem kereskedelmi szervezetek ellen elkövetett támadásokban szerte a világon. A platform és a malware jelenleg is aktív.

2015 végén a Kaspersky Lab kutatói felfigyeltek egy szokatlan rosszindulatú programra, melyet egy szingapúri bank ellen elkövetett célzott adathalász támadási kísérletnél fedeztek fel. Egy rosszindulatú JAR fájlt csatoltak egy célzott adathalász e-mailhez, amellyel egy bank alkalmazottját támadták. A rosszindulatú program kiterjedt képességei – a több platformon való futtathatóság, valamint az a tény, hogy semmilyen vírusvédelmi megoldás nem mutatta ki – azonnal megragadták a kutatók figyelmét.

bankhacker punish

Az Adwind RAT

Kiderült, hogy a szervezetet az Adwind RAT-tal támadták meg, egy hátsó ajtóval, amely megvásárolható és teljes mértékben Java-ban írták, ami többplatformossá teszi. Fut Windows, OS X, Linux és Android platformokon, és többek között távolról vezérelhető és adatokat gyűjt.

Ha a megcélzott felhasználók megnyitják a csatolt JAR fájlt, a rosszindulatú program telepíti önmagát, és megpróbál kommunikálni a parancs és vezérlő szerverrel. A malware az alábbi funkciókra képes:

  • billentyűleütések összegyűjtése
  • tárolt jelszavak ellopása és webes űrlapokról származó adatok elfogása
  • képernyőképek készítése
  • képek és videók készítése a webkamera segítségével
  • hang felvétele a mikrofonnal
  • fájlok átvitele
  • általános rendszer és felhasználói információk összegyűjtése
  • kriptovaluta tárcákhoz tartozó kulcsok ellopása
  • SMS-ek kezelése (Android)
  • VPN tanúsítványok ellopása

Bár főként az opportunista támadók használják és kiterjedt spam kampányokkal terjesztik, voltak olyan esetek, amikor célzott támadásokban használták az Adwind-et. 2015 augusztusában az Adwin egy argentin ügyész elleni kiberkémedéssel kapcsolatban bukkant fel a hírekben, akit 2015 januárjában holtan találtak. A szingapúri bank elleni incidens egy másik példája volt a célzott támadásnak. Az Adwind RAT használatával kapcsolatos mélyebb elemzés megmutatta, hogy ezek a támadások nem egyedüliek voltak.

hacker4

Fő célpontok

A vizsgálat során a Kaspersky Lab szakértői közel 200 adathalász támadást – amelyeket ismeretlen bűnözők szerveztek, hogy elterjesszék az Adwind vírust – elemeztek, valamint azonosítani tudták az általuk érintett iparágakat: a legtöbb célpont a gyártási, pénzügyi, mérnöki, tervezési, kiskereskedelmi, kormányzati, szállítási, távközlési, szoftvergyártási, oktatási, élelmiszergyártási, egészségügyi, média és energiatermelési területen tevékenykedett.

A Kaspersky Security Network (KSN) információi szerint a 200 célzott adathalász támadás eredményeképpen a 2015 augusztusa és 2016 januárja közötti hat hónapban több mint 68 000 felhasználónál észleltek Adwind RAT vírusmintákat.

A KSN által regisztrált adatokból kiderült, hogy ebben az időszakban a támadások célpontjainak közel fele (49%) az alábbi 10 országban volt található: Egyesült Arab Emírségek, Németország, India, Egyesült Államok, Olaszország, Oroszország, Vietnám, Hong Kong, Törökország és Tajvan.

Az azonosított célpontok profiljai alapján a Kaspersky Lab szakértői úgy vélik, hogy az Adwind platform használói az alábbi kategóriákba esnek: csalók, akik a következő szintre szeretnének lépni (malware-eket használnak a fejlettebb csalásokhoz), tisztességtelen versenytársak, kiberzsoldosok (bérelhető kémek), valamint magánszemélyek, akik szeretnének olyan emberek után kémkedni, akiket ismernek.

hacker-posts-thousands-of-facebook-login-information

Fenyegetés mint szolgáltatás

Az egyik fő jellemző, amely megkülönbözteti az Adwind RAT vírust más kereskedelmi malware-ektől, hogy nyíltan terjesztik egy fizetős szolgáltatás formájában, ahol az “ügyfél” díjat fizet a rosszindulatú program használatáért. A Kaspersky Lab kutatói úgy becsülik, hogy körülbelül 1800 felhasználója volt a malware-nek 2015 végéig. Ez az egyik legnagyobb ma létező malware platformmá teszi az Adwind-et.

“Az Adwin platform jelenlegi állapotában jelentősen csökkenti a minimális szakmai ismereteket, amelyek ahhoz szükségesek, hogy egy potenciális bűnöző belépjen a kiberbűnözés területére. A szingapúri bank ellen elkövetett támadás kapcsán végzett vizsgálatunk alapján azt mondhatjuk, hogy az e mögött álló bűnöző messze áll a professzionális hackertől, és úgy gondoljuk, hogy az Adwind platform “ügyfelei” hasonló szintű tudással rendelkeznek. Ez egy aggasztó trend” – mondta Aleksandr Gostev, a Kaspersky Lab vezető biztonsági szakértője.

Annak ellenére, hogy több jelentés készült ezen eszköz különböző generációiról biztonsági cégek által az elmúlt években, a platform még mindig aktív és mindenféle bűnözők használják. Elvégeztük ezt a kutatást annak érdekében, hogy felhívjuk a biztonsági közösség és a bűnüldöző szervek figyelmét, és hogy megtegyük a szükséges lépéseket annak érdekében, hogy teljes mértékben megszakítsuk a működését.” – mondta Vitaly Kamluk, a Kaspersky Lab GReAT csapatának vezetője.

A Kaspersky Lab átadta az Adwind platformról tett megállapításait a bűnüldöző szerveknek.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek