Исследователи из Menlo Security обнаружили новую версию RAT-трояна Adwind, нацеленную исключительно на ПК Windows.

Троян Adwind, он же AlienSpy, Frutas, Unrecom, JRAT, SockRat и JSocket, целиком написан на Java и обычно используется для кражи информации с зараженных машин. До сих пор зловреду было все равно, на какой платформе работать — Linux, macOS, Windows или Android. Модификация, появившаяся четыре месяца назад, атакует только Windows и ворует логины и пароли из Windows-приложений — Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Примечательно, что новый Adwind интересуется также данными, сохраненными в браузерах на основе Chromium, в том числе в Brave.

Зловред попадает на компьютер в виде JAR-файла, загружаемого по ссылке в спам-письме или с легитимного сайта, отдающего небезопасный сторонний контент. Во многих случаях исследователи фиксировали заражения, источником которых являлся непропатченный сайт WordPress.

Вредоносный код в JAR-файле скрыт под несколькими слоями обфускации во избежание обнаружения сигнатурными методами. После его расшифровки происходит загрузка стартового набора модулей и установка соединения с C&C-сервером.

IP-адрес центра управления Adwind выбирает по списку в конфигурационном файле; запрос на загрузку дополнительных JAR-файлов шифруется по AES и подается через TCP-порт 80. Получив все необходимое для выполнения основной задачи, зловред по команде приступает к сбору учетных данных, которые затем отправляет на удаленный сервер.

Исследователи не преминули отметить, что зловредную Java-функциональность очень трудно отследить, поскольку Java широко используется в Интернете. Заблокировать или ограничить выполнение Java-функций нельзя: на них полагаются многие современные веб-приложения и SaaS-сервисы. Вместе с тем ни один сигнатурный анализатор не в состоянии уверенно обнаружить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить вредоносную активность сможет только динамический анализ.

Многофункциональный троян Adwind появился на интернет-арене в 2013 году и с тех пор периодически попадает в поле зрения специалистов по ИБ, демонстрируя новые образцы и меняя цели. Последний раз он засветился в августовских спам-рассылках, целью которых были энергетические предприятия США. Зловред доступен на черном рынке как услуга; его авторы уделяют много внимания средствам обхода и блокировки защитных решений. Так, в прошлом году они опробовали схему заражения, использующую DDE-макрос для сокрытия вредоносного кода от антивирусов.

Категории: Аналитика, Вредоносные программы