Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato una dettagliata ricerca sul Remote Access Tool (RAT) Adwind, un programma nocivo multi-piattaforma e multifunzionale anche conosciuto come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat che viene distribuito attraverso un’unica piattaforma malware-as-a-service.
Secondo i risultati dell’indagine, condotta tra il 2013 e il 2016, diverse versioni del malware Adwind sono state usate in attacchi contro 443.000 obiettivi tra utenti privati, aziende commerciali e non in tutto il mondo. La piattaforma e il malware sono ancora attivi.
Alla fine del 2015, i ricercatori di Kaspersky Lab sono venuti a conoscenza di un insolito programma dannoso che era stato scoperto durante un tentativo di attacco mirato a una banca di Singapore. Un file JAR nocivo era stato allegato a un’email di spear-phishing ricevuta da un impiegato della banca. Le avanzate funzionalità del malware, comprese la sua capacità di funzionare su diverse piattaforme e la particolarità di non venire rilevato da alcuna soluzione antivirus, hanno immediatamente catturato l’attenzione dei ricercatori.
Il RAT Adwind
È stato scoperto che l’organizzazione era stata attaccata dal RAT Adwind, una backdoor facilmente acquistabile e che essendo completamente scritta in Java è multi-piattaforma. Può funzionare sulle piattaforme Windows, OS X, Linux e Android offrendo funzionalità per il controllo da remoto del desktop, la raccolta di informazioni, il furto di dati, e così via.
Se l’utente preso di mira apre il file JAR in allegato, il malware si installa automaticamente e prova a comunicare con il server di comando e controllo. L’elenco delle funzionalità del malware comprende la capacità di:
- Registrare le sequenze di tasti
- Rubare le password archiviate e ottenere informazioni dai moduli web
- Fare screenshot
- Fare foto e video dalla webcam
- Registrare i suoni dal microfono
- Trasferire file
- Raccogliere informazioni generali sul sistema e sull’utente
- Rubare le password per i wallet delle criptovalute
- Gestire i messaggi (per Android)
- Rubare i certificati VPN
Sebbene venga principalmente distribuito con campagne spam di massa, sono stati registrati casi in cui Adwind è stato usato per attacchi mirati. Ad esempio, ad agosto 2015 Adwind è stato citato nelle notizie sulla campagna di cyber spionaggio contro un pubblico ministero argentino che era stato trovato morto a gennaio 2015. Il caso della banca di Singapore è un altro esempio di attacco mirato e uno studio approfondito degli eventi legati all’utilizzo del RAT Adwind ha mostrato che questi attacchi mirati non sono stati gli unici.
Obiettivi di interesse
Durante l’indagine, gli esperti di Kaspersky Lab sono stati in grado di analizzare quasi 200 esempi di attacchi di spear-phishing lanciati da criminali sconosciuti per diffondere il malware Adwind e hanno potuto identificare i settori maggiormente presi di mira:
- Industria manifatturiera
- Finanza
- Ingegneria
- Progetazione
- Vendita al dettaglio
- Governi
- Spedizioni
- Telecomunicazioni
- Sviluppo software
- Istruzione
- Produzione alimentare
- Salute
- Media
- Energia
Secondo le informazioni del Kaspersky Security Network, i 200 esempi di attacchi di spear-phishing osservati nei sei mesi tra agosto 2015 e gennaio 2016 hanno portato più di 68.000 utenti a incontrare campioni del malware RAT Adwind.
La distribuzione geografica delle vittime degli attacchi registrati dal KSN durante il periodo in questione mostra che quasi la metà di loro (49%) vivevano nei seguenti 10 Paesi: Emirati Arabi Uniti, Germania, India, Stati Uniti, Italia, Russia, Vietnam, Hong Kong, Turchia e Taiwan.
