Кроссплатформенный зловред Adwind снова попал в поле зрения ИБ-экспертов. Уже пять лет этот бэкдор с функциями слежки за пользователями и кражи персональной информации находит применение в атаках по всему миру.

Специалисты знают Adwind под многими именами: AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat. Использование Java позволяет ему поражать системы на базе Windows, Mac OS, Linux и Android. Эксперты «Лаборатории Касперского» называют Adwind крупнейшим образцом «зловреда как услуги» — на черном рынке он доступен покупателям в качестве арендуемого сервиса. Такая модель снижает порог знаний, требуемых для эксплуатации вируса.

В результате к 2016 году программу использовали уже около 1800 злоумышленников, которые атаковали более 440 тысяч компьютеров в России, Германии, Индии, США, Италии и еще десятках стран. В последний раз Adwind отметился в июле прошлого года атаками на датские компании.

Функции зловреда включают скрытую установку ПО, снятие скриншотов, запись видео и аудио, кражу пользовательской информации и автоматическое обновление собственной версии. Распространяется вирус через вложения в фишинговых рассылках. Аналитики ИБ отмечают, что в ходе нынешней кампании зараженные письма маскируются под деловые — в темах упоминаются инвойсы, заказы, платежные инструкции. Это наводит на мысль, что преступники нацелились именно на бизнес-сегмент, пытаясь пробить бреши в корпоративных системах безопасности. В дальнейшем Adwind может применяться при направленных атаках или внедрении шифровальщиков.

Особые опасения вызывает тот факт, что зловреду удается обманывать защитные системы. По словам экспертов компании KnowBe4, даже через несколько недель после обнаружения нынешней сборки только 20 из 60 антивирусных движков на онлайн-сканере VirusTotal смогли ее распознать. Причиной тому стало обилие встроенных в Adwind техник, которые позволяют ему обнаруживать песочницы, блокировать стандартные антивирусные функции и обратный инжиниринг. Коммуникация с командным центром идет через защищенный TLS-протокол.

Разработчики явно учли, что эвристические механизмы современных антивирусов реагируют на непосредственное выполнение зловредных утилит. Встроенные превентивные меры позволяют вирусу долго избегать обнаружения и нейтрализовать защитные системы упреждающими ударами. Это позволяет заключить, что самой действенной защитой от бэкдора остается внимательность пользователей, которые должны избегать вложений в подозрительных письмах.

Категории: Вредоносные программы, Главное