На саммите SAS 2016 специалисты «Лаборатории Касперского» объявили о необычном зловреде, обнаруженном в системах ряда сингапурских банков. Известный под различными именами — Adwind RAT, AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat, он способен поражать системы под Windows, Mac OS, Linux и Android. Кросс-платформенный бэкдор, написанный в Java, используется для сбора и последующей кражи данных, удаленного контроля над системой, а также передвижения по сети скомпрометированной компании.

Adwind — бэкдор, написанный целиком на Java и нацеленный на системы, поддерживающие среду Java RT. Зловред передает системную информацию и принимает команды от злоумышленника, работающего удаленно. Эти команды позволяют выводить на экран сообщения, скачивать и запускать исполняемые файлы и загружать плагины. Функциональность Adwind расширяется за счет плагинов (например, таким образом можно удаленно контролировать скомпрометированную систему или исполнять shell-команды). Кроме прочего зловред умеет регистрировать нажатия клавиш на клавиатуре, похищать данные из онлайн-форм, делать скриншоты, шпионить за пользователем через веб-камеру или микрофон, воровать ключи от биткойн-кошельков и сертификаты VPN и получать контроль над SMS-сообщениями (при заражении Android-устройства).

В основном Adwind используется хакерами-оппортунистами в ходе массированных спам-рассылок, но были и другие прецеденты: например, в августе прошедшего года AlienSpy был замечен в деле о шпионаже за аргентинским прокурором, который был найден мертвым в январе 2015 года. Насколько известно, зловред можно приобрести на черном рынке. Жертвой может быть кто угодно — от пользователей, случайно запустивших вредоносный файл, полученный в спам-рассылке, до предприятий малого и среднего бизнеса, ставших объектами целевой атаки.

Эксперты «Лаборатории» выявили зловреда в электронном сообщении, полученном рядом сингапурских банков. IP-адрес отправителей привел в Румынию, где был расположен почтовый сервер компании, зарегистрированной в России. Что любопытно, вначале бэкдор имел только испаноязычный интерфейс, но в настоящее время известно, что зловред «заговорил» по-английски. Исследователи сходятся во мнении, что за кампанией не могут стоять спецслужбы: зловред интересен исключительно киберпреступникам.

На данный момент в «Лаборатории Касперского» говорят более чем о 443 тыс. жертв Adwind с 2013-го до начала 2016 года. Вначале, в 2013 году, под прицел киберпреступников попадали арабские и испаноговорящие страны. В 2014 году Adwind переориентировался на Турцию, Индию, ОАЭ, США и Вьетнам. В 2015 году большинство жертв зловреда находились в России, хотя досталось также ОАЭ, Турции, США и Германии. Компании, наиболее интересные хакерам, использующим Adwind, работают в сфере производства, финансов, инжиниринга, дизайна и розничной торговли.

За последние полгода образцы RAT-троянца просочились более чем в 68 тыс. систем в результате около 200 целевых фишинговых атак. Adwind используют сотни киберпреступников, оперирующих сотнями C&C-cерверов, многие из которых до сих пор работают.

В «Лаборатории Касперского» заверили, что все продукты компании детектируют Adwind. Самой свежей итерацией RAT-троянца Adwind является JSocket, подписку на который можно купить онлайн. Специалисты полагают, что за обоими зловредами стоит один и тот же разработчик, который, по расчетам экспертов, потенциально может единолично, прибегая к помощи фрилансеров, зарабатывать по $200 тыс. в год.

Категории: Аналитика, Вредоносные программы, Главное