В первых числах июля исследователи из ИБ-компании Heimdal Security отметили новый всплеск активности RAT-зловреда Adwind; он начал раздаваться через спам, рассылаемый на корпоративные адреса пользователей Дании.

Поддельные англоязычные сообщения имитируют коммерческий запрос, якобы связанный с каким-то заказом, и снабжены вложением в формате .jar (Java-архива). Адрес отправителя, по свидетельству экспертов, явно подставной. При открытии вредоносного файла код Adwind запускается на исполнение, и машина жертвы приобщается к ботнету.

Текущий вариант зловреда ведет обмен с C&C-сервером, который засветился в других RAT-кампаниях, использующих динамическую адресацию (DDNS). Исследователи не преминули отметить, что за время существования Adwind его серверы периодически закрывались и возникали вновь; большинство из них используют DDNS.

«Цель атак такого типа всегда двойная: вывод данных из скомпрометированных организаций и открытие бэкдора, позволяющего атакующим загружать другое вредоносное ПО на зараженные машины», — пишет Андра Захария (Andra Zaharia) в блоге Heimdal.

Исследователь не приводит названия компаний, ставших мишенями целевых спам-атак, она лишь заметила: «Adwind зачастую был связан с изощренными APT-кампаниями, так что столкновение с ним в этом контексте не оказалось сюрпризом».

Как видим, способ распространения кросс-платформенного бэкдора Adwind, он же Frutas, AlienSpy и JSocket, нисколько не изменился. В конце прошлого года исследователи из «Лаборатории Касперского» обнаружили заряженное им электронное сообщение, разосланное на адреса ряда сингапурских банков. Результаты анализа этого RAT-зловреда эксперты представили на февральском саммите SAS 2016. На тот момент число жертв Adwind, по оценке «Лаборатории», составляло не менее 443 тыс.

Категории: Вредоносные программы, Спам