Plataforma de malware como serviço atingiu 400 mil utilizadores e organizações em todo o mundo
A Equipa de Investigação e Análise Global da Kaspersky Lab publicou uma ampla investigação sobre o Adwind RAT (Remote Access Tool), um programa de malware multifuncional compatível com várias plataformas também conhecido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, distribuído por meio de uma única plataforma de malware como serviço.
De acordo com os resultados da investigação, realizada entre 2013 e 2016, diferentes versões do malware Adwind foram usadas em ataques contra ao menos 443 mil usuários privados, organizações comerciais e não comerciais do mundo inteiro. A plataforma e o malware continuam ativos.
No final de 2015, os investigadores da Kaspersky Lab notaram um programa de malware incomum que foi descoberto durante uma tentativa de ataque direcionado contra um banco em Singapura. Um arquivo JAR malicioso foi anexado a um email de phishing recebido por um funcionário do banco. As avançadas funcionalidades do malware, como a sua capacidade de execução em diversas plataformas, além do facto de não ser detetada por nenhuma solução antivírus, chamou a atenção dos investigadores.
Constatou-se que a organização tinha sido atacada pelo Adwind RAT, um backdoor disponível para compra totalmente desenvolvido em Java, o que o torna compatível com várias plataformas. Ele pode ser executado no Windows, OS X, Linux e Android, fornecendo recursos de controlo de área de trabalho remota, recolha de dados, extração de dados etc.
Se a vítima abrir o arquivo JAR do anexo, o malware instala-se automaticamente e tenta comunicar com o servidor de comando e controlo. Embora seja usado principalmente por criminosos oportunistas e distribuído em grandes campanhas de spam, em alguns casos, o Adwind foi usado em ataques direcionados.
Uma das principais características que distingue o Adwind RAT de outros malware com finalidade comercial é sua distribuição aberta na forma de um serviço pago, onde o “cliente” desembolsa uma taxa para usar o programa malicioso. Com base numa investigação da atividade dos utilizadores no quadro de mensagens interno e algumas outras observações, os investigadores da Kaspersky Lab estimam que, no final de 2015, havia cerca de 1.800 utilizadores no sistema. Esta é uma das maiores plataformas de malware existentes no momento.
Durante a investigação, os investigadores da Kaspersky Lab conseguiram analisar aproximadamente 200 exemplos de ataques de phishing organizados por criminosos desconhecidos para propagar o malware Adwind e identificaram os setores de atividade da maioria das vítimas:
– Industrial
– Financeiro
– Engenharia
– Design
– Retalho
– Governo
– Frete
– Telecomunicações
– Software
– Educação
– Produção de alimentos
– Serviços de saúde
– Imprensa
– Energia
Com base nas informações da Kaspersky Security Network, nos 200 exemplos de ataques de phishing observados durante os seis meses anteriores a agosto de 2015 e janeiro de 2016, amostras do malware Adwind RAT foram detetadas por mais de 68.000 utilizadores.
A distribuição geográfica dos utilizadores atacados registadas pela KSN nesse período mostra que quase metade (49%) encontrava-se em dez países: Emirados Árabes Unidos, Alemanha, Índia, EUA, Itália, Rússia, Vietname, Hong Kong, Turquia e Taiwan.
A Kaspersky Lab apresentou as suas descobertas sobre a plataforma Adwind às autoridades legais. Para proteger a sua organização contra essa ameaça, a Kaspersky Lab recomenda que as empresas reavaliem a necessidade de usar a plataforma Java e a desabilitem para todas as fontes não autorizadas.
