Adwind, plataforma de malware como servicio que ha afectado a más de 400,000 usuarios

Kaspersky Lab aconseja revisar el propósito de utilizar la plataforma Java y desactivarla para todas las fuentes no autorizadas.Y descubre cómo se investigan los ataques selectivos sofisticados.

Adwind, plataforma de malware como servicio que ha afectado a más de 400,000 usuarios

to), un programa de malware multiplataforma y multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, y que se distribuye a través de una sola plataforma de malware como servicio. De acuerdo con los resultados de la investigación, realizada entre 2013 y 2016, diferentes versiones del malware Adwind se han utilizado en los ataques contra al menos 443,000 usuarios privados, organizaciones comerciales y no comerciales en todo el mundo. La plataforma y el malware siguen activos.

A finales de 2015, los investigadores de Kaspersky Lab se dieron cuenta de un programa de malware inusual que había sido descubierto durante un intento de ataque dirigido contra un banco en Singapur. Un archivo JAR malicioso estaba anexo a un correo electrónico de spear-phishing que recibió el empleado seleccionado del banco. Las ricas capacidades del software malicioso, incluyendo su capacidad para ejecutarse en múltiples plataformas, así como el hecho de que no lo detecta ninguna solución antivirus, de inmediato llamó la atención de los investigadores.

El Adwind RAT

Resultó que la organización había sido atacada con el Adwind RAT, una puerta trasera disponible para su compra y escrita completamente en Java, lo cual la hace funcional en diferentes plataformas. Se puede ejecutar en Windows, OS X, Linux y plataformas Android y ofrece la capacidad de control remoto desde un equipo de escritorio, recopilación de datos, exfiltración de datos, etc.

Si el usuario objetivo abre el archivo JAR adjunto, el malware se instala automáticamente e intenta comunicarse con el servidor de comando y control. La lista de funciones del malware incluye la capacidad de:

recopilar las pulsaciones del teclado
robar contraseñas almacenadas en caché y recuperar datos de formularios web
tomar capturas de pantalla
tomar fotografías y grabar video por medio de la cámara web
grabar sonido por medio del micrófono
transferir archivos
recopilar información general del usuario y del sistema
robar claves para carteras de criptomoneda
gestionar mensajes SMS (para Android)
robar certificados VPN

A pesar de que se utiliza principalmente por atacantes oportunistas y se distribuye en campañas masivas de spam, hay casos en los que se utilizó Adwind en ataques selectivos. En agosto de 2015, Adwind apareció en las noticias relacionadas con el ciberespionaje contra un fiscal argentino que se encontró muerto en enero de 2015. El incidente contra el banco de Singapur fue otro ejemplo de un ataque selectivo. Una mirada más profunda de los eventos relacionados con el uso de Adwind RAT mostró que estos ataques selectivos no fueron los únicos.

tos
Salud
Medios de comunicación
Energía
Con base en la información de Kaspersky Security Network, en los 200 ejemplos de ataques de spear-phishing observados en los seis meses entre agosto de 2015 y de enero de 2016, se encontraron muestras del malware Adwind RAT en más de 68,000 usuarios. La distribución geográfica de los usuarios atacados registrados por KSN durante este periodo muestra que casi la mitad de ellos (49%) vivían en los siguientes 10 países: Emiratos Árabes Unidos, Alemania, India, Estados Unidos, Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwán.

Con base en los perfiles de los objetivos identificados, los investigadores de Kaspersky Lab creen que los clientes de la plataforma Adwind se encuentran en las siguientes categorías: estafadores que quieren pasar al siguiente nivel (usando software malicioso para realizar fraudes más avanzados), competencia desleal, ciber-mercenarios (espías de alquiler) y particulares que quieren espiar a gente que conocen.

Amenaza como servicio

Una de las principales características que distingue a Adwind RAT de otro malware comercial es que se distribuye abiertamente como un servicio de pago, donde el “cliente” paga una cuota a cambio del uso del programa malicioso. Basado en una investigación de la actividad de los usuarios en el foro de discusión interna y algunas otras observaciones, los investigadores de Kaspersky Lab estiman que hubo alrededor de 1,800 usuarios en el sistema a finales de 2015.Esto hace que sea una de las plataformas más grandes de malware que existen en la actualidad.

“La plataforma Adwind en su estado actual reduce significativamente la cantidad mínima de conocimientos profesionales que requiere un delincuente potencial que intenta entrar en el ámbito de la delincuencia informática. Lo que podemos decir, con base en nuestra investigación del ataque contra el banco de Singapur, es que el delincuente estaba lejos de ser un hacker profesional, y creemos que la mayoría de los “clientes” de la plataforma Adwind tienen ese nivel de conocimientos de informática. Esa es una tendencia preocupante”, dijo Aleksandr Gostev, Experto en Seguridad de Kaspersky Lab.

“A pesar de los múltiples informes sobre las diferentes generaciones de esta herramienta, publicados por los proveedores de seguridad en los últimos años, la plataforma todavía está activa y habitada por delincuentes de todo tipo. Hemos llevado a cabo esta investigación con el fin de atraer la atención de la comunidad de seguridad y agencias policiales para tomar las medidas necesarias para desmantelarlos por completo”, dijo Vitaly Kamluk, Director del equipo GReAT (Análisis e Investigación Global) en APAC, Kaspersky Lab.

Kaspersky Lab ha informado de sus hallazgos sobre la plataforma Adwind a las agencias policiales.

Con el fin de que te protejas a ti mismo y a tu organización contra esta amenaza, Kaspersky Lab aconseja a las empresas revisar el propósito de utilizar la plataforma Java y desactivarla para todas las fuentes no autorizadas.

Si deseas más información sobre la plataforma del malware Adwind como servicio: https://securelist.com/blog/research/73660/adwind-faq/
Ver informacion original al respecto en Fuente:
tos.com/2016/02/15/adwind-plataforma-de-malware/

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies