Adwind, plataforma de malware ha afectado a más de 400,000 usuarios
El equipo de Análisis e Investigación Global de Kaspersky Lab publicó una amplia investigación sobre Adwind RAT (Remote Access Tool o Herramienta de Acceso Remoto), un programa de malware multiplataforma y multifuncional conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, y que se distribuye a través de una sola plataforma de malware como servicio. De acuerdo con los resultados de la investigación, entre 2013 y 2016, diferentes versiones del malware Adwind se han utilizado en los ataques contra al menos 443,000 usuarios privados, organizaciones comerciales y no comerciales en todo el mundo. La plataforma y el malware siguen activos.
A finales de 2015, se detectó un programa de malware inusual que había sido descubierto durante un intento de ataque dirigido contra un banco en Singapur. Un archivo JAR malicioso estaba anexo a un correo electrónico de spear-phishing que recibió el empleado seleccionado del banco. Las ricas capacidades del software malicioso, incluyendo su capacidad para ejecutarse en múltiples plataformas, así como el hecho de que no lo detecta ninguna solución antivirus, de inmediato llamó la atención de los investigadores.
El Adwind RAT
Resultó que la organización había sido atacada con el Adwind RAT, una puerta trasera disponible para su compra y escrita completamente en Java, lo cual la hace funcional en diferentes plataformas. Se puede ejecutar en Windows, OS X, Linux y plataformas Android y ofrece la capacidad de control remoto desde un equipo de escritorio, recopilación de datos, exfiltración de datos, etc.
Si el usuario objetivo abre el archivo JAR adjunto, el malware se instala automáticamente e intenta comunicarse con el servidor de comando y control. La lista de funciones del malware incluye la capacidad de:
- Recopilar las pulsaciones del teclado
- Robar contraseñas almacenadas en caché y recuperar datos de formularios web
- Tomar capturas de pantalla
- Tomar fotografías y grabar vídeo por medio de la cámara web
- Grabar sonido por medio del micrófono
- Transferir archivos
- Recopilar información general del usuario y del sistema
- Robar claves para carteras de criptomoneda
- Gestionar mensajes SMS (para Android)
- Robar certificados VPN
En los 200 ejemplos de ataques de spear-phishing observados en los seis meses entre agosto de 2015 y de enero de 2016 se encontraron muestras del malware Adwind RAT en más de 68,000 usuarios. La distribución geográfica de los usuarios atacados registrados por KSN durante este período muestra que casi la mitad de ellos (49%) vivían en los siguientes 10 países: Emiratos Árabes Unidos, Alemania, India, Estados Unidos, Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwán.