Adwind, malware que ha afectado a más de 400,000 usuarios y organizaciones a nivel mundial
El equipo de Análisis e Investigación Global de Kaspersky Lab ha publicado una amplia investigación sobre Adwind RAT (Remote Access Tool ó Herramienta de Acceso Remoto), un programa de malware multiplataforma y multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, y que se distribuye a través de una sola plataforma de malware como servicio. De acuerdo con los resultados de la investigación, realizado entre 2013 y 2016, diferentes versiones del malware Adwind se han utilizado en los ataques contra al menos 443,000 usuarios privados, organizaciones comerciales y no comerciales en todo el mundo. La plataforma y el malware siguen activos.
A finales de 2015, los investigadores de Kaspersky Lab se dieron cuenta de un programa de malware inusual que había sido descubierto durante un intento de ataque dirigido contra un banco en Singapur. Un archivo JAR malicioso estaba anexo a un correo electrónico de spear-phishing que recibió el empleado seleccionado del banco. Las ricas capacidades del software malicioso, incluyendo su capacidad para ejecutarse en múltiples plataformas, así como el hecho de que no lo detecta ninguna solución antivirus, de inmediato llamó la atención de los investigadores.
El Adwind RAT
Resultó que la organización había sido atacada con el Adwind RAT, una puerta trasera disponible para su compra y escrita completamente en Java, lo cual la hace funcional en diferentes plataformas. Se puede ejecutar en Windows, OS X, Linux y plataformas Android y ofrece la capacidad de control remoto desde un equipo de escritorio, recopilación de datos, exfiltración de datos, etc.
Si el usuario objetivo abre el archivo JAR adjunto, el malware se instala automáticamente e intenta comunicarse con el servidor de comando y control. La lista de funciones del malware incluye la capacidad de:
- Recopilar las pulsaciones del teclado
- Robar contraseñas almacenadas en caché y recuperar datos de formularios web
- Tomar capturas de pantalla
- Tomar fotografías y grabar vídeo por medio de la cámara web
- Grabar sonido por medio del micrófono
- Transferir archivos
- Recopilar información general del usuario y del sistema
- Robar claves para carteras de criptomoneda
- Gestionar mensajes SMS (para Android)
- Robar certificados VPN
Lea más sobre la plataforma del malware como servicio Adwind: https://securelist.com/blog/research/73660/adwind-faq/