Špijunski alat Adwind do sada inficirao 400000 računara

Opisi virusa, 10.02.2016, 01:00 AM

Špijunski alat Adwind do sada inficirao 400000 računara

Ozloglašeni trojanski alat za daljinski pristup Adwind korišćen je u napadima protiv najmanje 400000 privatnih i poslovnih korisnika u sektoru finansija, obrazovanja i inženjeringa, kao i protiv državnih institucija širom sveta, upozorili su istraživači Kaspersky Laba.

U ponedeljak su istraživači ruske kompanije Vitalij Kamluk i Aleks Gostev pred prisutnima na samitu posvećenom bezbednosti koji se održava na Tenerifima, u Španiji, prezentovali zaključke do kojih su došli analizirajući RAT (Remote Access Tool) Adwind, koji je poznat i pod nazivima AlienSpy, Frutas, Unrecom, Socrat, JSocket i jRat. Adwind je RAT koji je razvijan nekoliko godina i distribuiran u obliku “malver kao servis” platforme. To znači da svako ko može da izdvoji između 25 i 300 dolara, može da koristi ovaj maliciozni alat za svoje potrebe.

Prema rečima istraživača, trojanac je u poslednje tri godine korišćen za napade na najmanje 443000 ciljeva, a i danas je aktivan. S obzirom da može da napada različite platforme (osim Windowsa, i OS X i Android) broj potencijalnih žrtava malvera je beskonačan.

RAT se šalje potencijalnim žrtvama kao payload u fišing emailovima. Ako žrtva otvori email atačment učitava se maliciozni AlienSpy JAR fajl, malver se instalira na računaru i pokušava da komunicira sa komandno-kontrolnim (C&C) serverom za dodatne instrukcije.

Malver može da beleži kucanje na tastaturi, da krade sačuvane lozinke i podatke unete u web forme, da pravi snimke ekrana, i da snima video, fotografije i zvuk pomoću mikrofona i web kamere računara. Pored toga, Adwind može da prebacuje fajlove bez žrtvinog znanja i pristanka, da prikuplja opšte informacije o sistemu i VPN sertifikate, da upravlja SMS sistemima na Androidu i da krade ključeve za pristup digitalnim novčanicima za kripto valutu kakva je bitcoin. Malver omogućava napadaču da komunicira sa žrtvom preko poruka.

Malver je obično bio primećen u spam kampanjama u kojima su se emailovi slali velikom broju korisnika, ali bilo je i slučajeva da je Adwind korišćen u napadima na birane žrtve. Tako je prošlog avgusta, trojanac bio povezan sa sumnjivom smrću argentinskog tužioca Alberta Nismana.

Malver je pronađen u njegovom smart telefonu u vreme njegove smrti, i to baš pre nego što je trebalo da objavi izveštaj o osudi argentinske vlade zbog navodnog prikrivanja terorističkog napada na zgradu argentisko-jevrejskog udruženja u Buenos Ajresu.

Još jedan poznati cilj malvera bila je jedna banka u Singapuru. Tokom tog napada istraživači Kaspersky Laba otkrili su ovu malicioznu platformu. Malver je korišćen maskiran u Java fajl u spear fišing emailu, koji je poslat na email adresu zaposlenog u banci.

Skoro polovina žrtava malvera je iz Ujedinjenih Arapskih Emirata, Nemačke, Indije, SAD, Italije, Rusije, Vijetnama, Hong Konga, Turske i Tajvana.

Adwind je veoma moćan špijunski alat koji je mnogo zanimljiviji nego što se to činilo na početku, kažu istraživači. Ispostavilo se da je malver razvijan nekoliko godina, a da prvi primerci malvera datiraju iz 2012. U različitim periodima, malver je imao različita imena: 2012. bio je poznat kao Frutas, 2013. kao Adwind, 2014. kao Unrecom i AlienSpy i 2015. kao JSocket.

Istraživači smatraju da iza Adwinda stoji samo jedna osoba, koja se stara o razvoju i podršci novih funkcija i modula. Moguće je da autor Adwinda angažuje druge ljude za neke poslove, ali izgleda da se svi ovi napori isplate jer prema proračunima istraživača Kaspersky Laba, malver bi godišnje mogao da donese zaradu od 200000 dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje