dwind, троянец удаленного доступа (RAT), ранее связанный с атаками на промышленные предприятия по всему миру, вернулся с новым набором инструментальных средств, предназначенным для обмана антивирусных программ, позволяя вредоносным программам эксплуатировать системы.
В понедельник исследователи кибербезопасности Cisco Talos вместе с разведывательным партнером ReversingLabs опубликовали результаты расследования последней кампании Adwind Trojan.
Также известный как AlienSpy, JSocket и jRat, троянец - это вариант вредоносного ПО, который содержит множество «навыков».
Мало того, что RAT способен собирать информацию о ПК и нажатия клавиш, а также украсть учетные данные и данные, представленные через веб-формы, вредоносное ПО также может записывать видео, звук и делать скриншоты. Троянец также может вмешиваться в системные файлы и передавать контент без согласия пользователя.
Более свежие варианты троянов были обновлены, чтобы рассмотреть прибыльную область криптовалютности, и Adwind теперь может также попытаться украсть криптографические ключи, необходимые для доступа к кошелькам с криптовалютами на зараженных системах.
Троянец заражает ПК после того, как их отправили в качестве вредоносной полезной нагрузки посредством фишинговых кампаний. Обработанные электронные письма содержат вредоносные файлы JAR, которые после выполнения подключаются к серверу управления и управления RAT (C2) для загрузки дополнительных полезных нагрузок и передачи похищенных данных.
Ранее вредоносное ПО было связано, по меньшей мере, с 400 000 нападений на предприятия в сфере финансов, производства, судоходства и телекоммуникационной отрасли.
Троян обнаружен в таких странах, как Турция, США, Индия, Вьетнам и Гонконг.
Многофункциональный троянец также является известным предложением на платформах malware-as-a-service (MaaS) и может использоваться участниками угроз, желающими оплатить подписку.
В августе появилась новая спам-кампания, распространяющая Adwind 3.0, один из последних обнаруженных вариантов трояна. Кампания нацелена на компьютеры Windows, Linux и Mac с особым упором на жертв в Турции и Германии.
Однако интересной новой схемой является включение атаки на инъекцию кода Dynamic Data Exchange (DDE), целью которой является компрометация Microsoft Excel и обход сигнатурных антивирусных решений.
Фишинг-кампания отправляет вредоносные сообщения, содержащие вложение .CSV или .XLT - оба из которых открываются Excel по умолчанию.
Вредоносные файлы содержат одну из двух капельниц, обе из которых используют DDE-инъекцию. Файл капельницы также может использовать множество расширений, включая .htm, .xlt, .xlc и .db.
«Не все расширения будут открываться Microsoft Excel по умолчанию», - говорит Талос. «Однако для нестандартных расширений сценарий, запускающий Excel с файлом с одним из этих расширений в качестве параметра, по-прежнему является жизнеспособным сценарием атаки».
Cisco Talos говорит, что новый метод был реализован во имя обфускации. В начале файла нет заголовка, который нужно проверить, что может, в свою очередь, запутать антивирусное программное обеспечение, которое ожидает, что символы ASCII будут присутствовать в формате CSV, например.
Вместо того, чтобы обнаруживать файл как капельницу, антивирусное программное обеспечение подписи может просто рассматривать файл поврежденным. Талос говорит, что Microsoft Excel обнаруживает открытый файл как подделку, но пользователь по-прежнему может открыть «поврежденный» файл, если захочет.