Μια μορφή trojan malware που έχει χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για να κλέψει τα credentials σύνδεσης και άλλες πληροφορίες από τα θύματα για πάνω από πέντε χρόνια έχει ενημερωθεί με τη δυνατότητα να κρυφτεί χρησιμοποιώντας νόμιμες εντολές Java για να καλυφθεί η κακόβουλη συμπεριφορά του.
Το Adwind remote access trojan (RAT) – γνωστό και ως AlienSpy και jRAT – εμφανίστηκε για πρώτη φορά το 2013 και είναι διαθέσιμο ως υπηρεσία σε εγκληματίες που θέλουν να χρησιμοποιήσουν τις πιστοποιήσεις τους, keylogging, εγγραφή ήχου και άλλες δυνατότητες κακόβουλου λογισμικού κατά των θυμάτων.
Το malware μπορεί να στοχεύσει χρήστες πολλών σημαντικών λειτουργικών συστημάτων και συνήθως μολύνει τα θύματα μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing), των κατεστραμμένων λήψεων software ή κακόβουλων ιστοσελίδων.
Τώρα εμφανίστηκε μια νέα παραλλαγή του κακόβουλου λογισμικού, που φαίνεται να στοχεύει συγκεκριμένα τα Windows και τις κοινές εφαρμογές των Windows, συμπεριλαμβανομένου του Internet Explorer και του Outlook, μαζί με προγράμματα περιήγησης που βασίζονται στο Chromium, όπως το Brave – το οποίο κυκλοφόρησε μόνο φέτος.
Αναλυτικότερα από τους ερευνητές του Menlo Security, η τελευταία ενσάρκωση του Adwind παρέχεται από ένα αρχείο JAR (Αρχείο Java), με την κακόβουλη πρόθεσή του να είναι κρυμμένη πίσω από πολλά επίπεδα συσκευασίας και κρυπτογράφησης, ώστε να καθίσταται αναποτελεσματική η ανίχνευση που βασίζεται στην υπογραφή.
Μόλις το κακόβουλο λογισμικό κάνει unpacked μια λίστα διευθύνσεων command and control server, το Adwind ενεργοποιείται και είναι σε θέση να λαμβάνει εντολές και να αποστέλλει κλεμμένα στοιχεία στους κεντρικούς υπολογιστές, συμπεριλαμβανομένων των credentials τραπεζών, των συνδέσεων των εφαρμογών των επιχειρήσεων και των κωδικών πρόσβασης που αποθηκεύονται σε ένα πρόγραμμα περιήγησης.
Αυτή η τελευταία έκδοση του Adwind αποκρύπτει επίσης τη συμπεριφορά του, ενώ ταυτόχρονα ενεργεί όπως και κάθε άλλη εντολή Java, επιτρέποντας την εμφάνιση της δραστηριότητας χωρίς να έχει εντοπιστεί.
Οι συγγραφείς το κάνουν με το να κρύβουν κακόβουλα αρχεία JAR μεταξύ πολλών νόμιμων εφαρμογών JAR, χρησιμοποιώντας κρυπτογράφηση για να δυσκολευτεί η ανίχνευση του αρχικού αρχείου JAR και η φόρτωση πρόσθετων αρχείων JAR από έναν απομακρυσμένο server. Όλα αυτά καθιστούν δύσκολη την ανίχνευση μη φυσιολογικής δραστηριότητας.
“Είναι σαν να βρίσκεται μέσα σε ένα πλήθος εκατομμυρίων ανθρώπων και να προσπαθούμε να διαλέξουμε το ένα άτομο που φοράει ένα πράσινο μπλουζάκι χωρίς να μπορεί να κοιτάξει κάτω από τα σακάκια των ανθρώπων. Δεν υπάρχει τίποτε ύποπτο για την ύπαρξή του, την εμφάνισή του ή ακόμα και την αρχική του συμπεριφορά, φαίνεται φυσιολογικό. ” δήλωσε ο Krishnan Subramanian, ερευνητής ασφάλειας στο Menlo Labs.
Εντούτοις, η Adwind αφήνει την μάσκα του να γλιστρήσει με έναν τρόπο: όταν στέλνει κλεμμένα credentials σε έναν απομακρυσμένο server, χρησιμοποιεί εντολές που δεν σχετίζονται με την Java – αν και από τη στιγμή που το malware στέλνει πληροφορίες στους εισβολείς, έχει γίνει. “Από τη σκοπιά της ανίχνευσης, η ορατότητα στην διαδικτυακή και την ηλεκτρονική κυκλοφορία είναι απαραίτητη. Αυτά τα ονόματα αρχείων jRAT φαίνεται να έχουν ένα πρότυπο χρησιμοποιώντας κοινούς οικονομικούς όρους όπως” Remittance “,” Payment “,” Advice “. ελέγξτε το όνομα αρχείου μιας Εφαρμογής Java πριν την επικαλεστούν”, δήλωσε ο Subramanian.
 - γνωστό και ως jRAT - εμφανίστηκε για πρώτη φορά το 2013 και είναι διαθέσιμο σε εγκληματίες){kind=link}