Неизвестные злоумышленники нацелились на инфраструктуру электроэнергетической отрасли США. С помощью вредоносных писем сотрудникам предприятий доставляют RAT-троян Adwind.

Зловред, также известный как JRAT, SockRat, AlienSpy, JSocket, Frutas и Unrecom, используется для кражи информации. Он умеет делать снимки экрана, собирать учетные данные из Chrome, Internet Explorer и Microsoft Edge, записывать аудио и видео, фотографировать, считывать нажатия клавиш на клавиатуре, красть файлы, электронную переписку и VPN-сертификаты.

Adwind распространяется по модели «зловред как услуга». Приобрести троян на черном рынке может любой желающий.

«То, что к Adwind можно получить доступ, как к обычному сервису, очень беспокоит, — сказал в интервью Threatpost Боб Ноэль (Bob Noel), вице-президент по стратегическим отношениям компании Plixer. — Любой желающий может заплатить и атаковать предприятия, в ведении которых находятся объекты критической инфраструктуры».

По словам Майло Сальвии (Milo Salvia), исследователя из Cofense, текущие атаки начинаются с вредоносной рассылки. Письмо, попавшее в поле зрения экспертов, было отправлено со взломанного аккаунта компании Friary Shoes. В нем говорилось, что получатель должен подписать и вернуть копию квитанции об оплате. К письму прилагалось изображение со встроенной ссылкой, замаскированное под PDF-файл.

Если пользователь пытался открыть вложение, его автоматически перенаправляли на взломанный сайт Fletcher Specs, с которого на компьютер жертвы загружался зловред.

Первоначальная полезная нагрузка представляла собой файл JAR с именем Scan050819.pdf_obf.jar. Таким образом злоумышленники пытались скрыть истинное расширение и выдать его за PDF-документ. Этот JAR-файл в фоновом режиме создавал два процесса Java.exe, которые загружали два отдельных файла .class, содержащих Adwind. После этого зловред передавал сигнал на командно-контрольный сервер.

Чтобы избежать обнаружения, троян находил на компьютере самые распространенные антивирусные программы и средства анализа вредоносного ПО и отключал их при помощи процесса taskkill.exe.

«Заставить пользователей открывать вредоносные ссылки или вложения — это для злоумышленников по-прежнему самый успешный способ получить доступ к целевой системе, — сказал Ноэль. — Как Adwind, так и другие вредоносы часто имеют возможность, попав на устройство, отключать антивирусы».

Категории: Вредоносные программы