Το Adwind remote access Trojan (RAT) ήρθε ξανά στην επιφάνεια, μετά από κάποιους μήνες, με μία σειρά από στοχευμένες επιθέσεις. Δεν είναι το σύνηθες RAT σου -μπορεί να προσπεράσει εντελώς το antivirus και ισχυρίζεται μηδενικό ρυθμό ανίχνευσης.
Παρατηρήθηκε μέσα σε ένα Σαββατοκύριακο σε πολλαπλές στοχευμένες επιθέσεις εναντίον Δανικών εταιρειών, σύμφωνα με την Heimdal Security. Αλλά δεδομένου ότι το κακόβουλο email που χρησιμοποιείται για να εξαπατήσει τα θύματα είναι στα Αγγλικά, οι επιτιθέμενοι κατά πάσα πιθανότητα δεν σταματούν στα Δανικά σύνορα.
Το Adwind, το οποίο είναι κατά βάση Java malware, συχνά συνδέεται με APT καμπάνιες. Η Heimdal το ονομάζει “cross-platform, πολυλειτουργικό και απλώς καταστροφικό.”
Συνεπώς, έχει διπλό σκοπό: Να κάνει exfiltration των δεδομένων από μολυσμένους οργανισμούς και να ανοίξει μία κερκόπορτα, η οποία επιτρέπει στους επιτιθέμενους να εισάγουν περισσότερα κακόβουλα λογισμικά σε αυτά τα μολυσμένα μηχανήματα. Οι επιτυχημένες Adwind μολύνσεις δίνουν στους online εγκληματίες μία κερκόπορτα στους υπολογιστές που τρέχουν Windows, OS X, Linux και ακόμη και Android. Από τη στιγμή που το RAT είναι σε ένα σύστημα, οι επιτιθέμενοι μπορούν απομακρυσμένα να ελέγχουν τον υπολογιστή και να μαζέψουν key logs, να παίρνουν υλικό από την κάμερα αλλά και ηχητικό υλικό, να παίρνουν screenshots και πολλά άλλα.
Στις επιθέσεις που παρατηρήθηκαν, μόλις ο Adwind κώδικας εκτελούνταν, ο μολυσμένος υπολογιστής εντασσόταν κατευθείαν και στο botnet.
Κάθε μηχάνημα που τρέχει Java είναι πιθανόν ευάλωτο, αλλά οι online εγκληματίες πίσω από το Adwind είναι μέρος μιας μόδας απέναντι σε πιο στοχευμένες επιθέσεις που απαιτούν μια μικρότερη υποδομή για να προχωρήσουν.
Όσον αφορά τα μέτρα προστασίας, οι διαχειριστές μπορούν να χτίσουν την ασφάλεια των δεδομένων σε επίπεδα και να συμβουλεύσουν τους υπαλλήλους για το πώς μπορούν να ανιχνεύσουν τα κακόβουλα mail. Το Adwind διαδίδεται μέσω κακόβουλων email με θέμα “Quotation request”.
