„Malware jako služba“ zasáhl přes 400 000 obětí

11. 2. 2016. (redaktor: František Doupal, zdroj: Kaspersky Lab)
Multifunkční malware Adwind měl mezi lety 2013 a 2016 na svědomí nejméně 443 000 uživatelů a komerčních i nekomerčních organizací po celém světě. Nástroj vzdáleného přístupu (RAT), který je určený pro více platforem, se šíří prostřednictvím jedné Malware-as-a-Service (malware jako služba) platformy.

Platforma i malware Adwind, též známý jako AlienSpy, Frutas, Unrecom, Sockrat, JSocket či jRat, jsou stále aktivní.

Analytici Kaspersky Lab na konci roku 2015 zaznamenali nezvyklý malware při pokusu o cílený útok proti bance v Singapuru. Útočníci k zacílenému phishingovému e-mailu připojili škodlivý JAR soubor. Malware zaujal analytiky především svou schopností fungovat na více platformách a také faktem, že ho nedetekovalo žádné antivirové řešení. Ukázalo se, že organizace byly napadené Adwindem. Tedy zadními vrátky napsanými v jazyku Java. Díky tomu může malware fungovat na více platformách – systému Windows, OS X, Linux a na Androidu, a také poskytovat funkce, jako je vzdálené ovládání plochy, sběr informací či funkce pro datové úniky.

Ve chvíli, kdy uživatel otevřel zmíněný JAR soubor, se malware sám nainstaloval
a pokusil se komunikovat s C&C serverem. Mezi funkce o programu patřilo:

  • sledování a ukládání jednotlivých úhozů;
  • odcizení hesel v mezipaměti a získání dat z webových formulářů;
  • snímání obrazovky;
  • pořizování fotografií a videí prostřednictvím webkamery;
  • nahrávání zvuku prostřednictvím mikrofonu;
  • sběr informací o systému a uživateli;
  • odcizení klíčů k peněženkám v kryptoměnách;
  • správa SMS (u systému Android);
  • odcizení certifikátů VPN.

Útočníci používali Adwind především k masivní distribuci spamu. Existují ale případy, kdy ho využili i při cílených útocích. V srpnu 2015 tento malware figuroval ve zprávách v souvislosti s kyberšpionáží proti argentinskému státnímu zástupci, který byl nalezen mrtvý v lednu téhož roku. Dalším příkladem byl i incident cílený na singapurskou banku. Tyto útoky však nebyly jediné. Během vyšetřování analytici Kaspersky Lab analyzovali téměř 200 vzorků cílených phishingových útoků neznámých aktérů určených k šíření Adwindu. Společnosti, na které napadení mířila, působily ve zpracovatelském průmyslu, vládním či vzdělávacím sektoru, finančnictví, strojírenství, designu, maloobchodu, přepravě, telekomunikacích, potravinářství, výrobě, zdravotnictví, médiích nebo v energetice. 

Na základě dat z Kaspersky Security Network (KSN) vyústilo těchto 200 vzorků detekovaných během šesti měsíců (srpen 2015 až leden 2016) v napadení více než 68 tisíc uživatelů nástrojem Adwind. Téměř polovina obětí (49 %) pocházela z těchto zemí: SAE, Německo, Indie, USA, Itálie, Rusko, Vietnam, Hongkong, Turecko a Tchaj-wan. Analytici Kaspersky Lab se na základě profilů identifikovaných cílů domnívají, že „klienty“ platformy Adwind jsou podvodníci, kteří chtějí používat malware pro ještě pokročilejší podvody, nekalá konkurence, případně to mohou být kybernetičtí žoldáci nebo soukromé osoby špehující cíle, které znají.

Jednou z hlavních funkcí, která odlišuje Adwind od jiných komerčních malwarových programů, je jeho otevřená distribuce ve formě placené služby, kdy „zákazník“ platí poplatek za jeho použití. Na základě zkoumání aktivit uživatelů prostřednictvím interního chatu a dalších pozorování odhadují analytici Kaspersky Lab, že v systému působilo ke konci roku 2015 okolo 1 800 uživatelů. To z něho činí jednu z největších existujících malwarových platforem.

„Platforma Adwind značně snižuje nároky na minimální úroveň odborných znalostí, které potenciální zločinci potřebují ke vstupu do světa kyberzločinu. Pozorováním útoků na singapurskou banku jsme zjistili, že útočníci měli k profesionálním hackerům hodně daleko. Domníváme se, že tomu tak je u většiny „klientů“ tohoto systému, což je opravdu znepokojivý trend,“ řekl Aleksandr Gostev, přední analytik Kaspersky Lab. 

„Navzdory tomu, že mnozí dodavatelé bezpečnostních řešení informovali o různých verzích tohoto nástroje, je platforma stále aktivní. Naší studií chceme přilákat pozornost bezpečnostní komunity a také orgánů činných v trestním řízení a tím podniknout nezbytné kroky ke kompletnímu přerušení fungování této platformy,“ dodal Vitaly Kamluk, vedoucí týmu GReAT Kaspersky Lab pro region APAC.

Společnost Kaspersky Lab již sdělila svá zjištění ohledně platformy Adwind příslušným orgánům činným v trestním řízení. Analytici doporučují firmám, které se chtějí před těmito útoky chránit, aby přezkoumaly účely používání platformy Java a zakázaly ji pro veškeré neautorizované zdroje. Více se o Malware-as-a-Service platformě Adwind dozvíte na webu Securelist.com. Toto video vám objasní, jak se sofistikované cílené útoky vyšetřují.

Zjištění vyplývají ze  studie Adwindu, kterou provedl tým GReAT (Global Research and Analysis Team) společnosti Kaspersky Lab.

Štítky: 
Malware, Bezpečnost, Kaspersky
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Raja Patel, senior vice prezident pro vývoj bezpečnostních produktů, Sophos

Ochrana proti sofistikovaným kybernetickým útokům vyžaduje vícevrstvou obranu

2. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podvodníci proměnili počítačovou kriminalitu v sofistikovaný a nebezpečný tanec. Využívají umělou inteligenci (AI) k vylepšování útoků prostřednictvím sociálního inženýrství a k napadání svých cílů mají k dispozici malware poskytovaný formou služby (Malware-as-a-Service, MaaS). Čtěte více

Kybernetická kriminalita a hrozby pro malé a středně velké podniky

19. 3. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie Sophos Threat Report pro rok 2024 popisuje „Kyberkriminalitu na hlavní obchodní třídě“ a největší hrozby, kterým malé a středně velké podniky čelí. Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery (tedy malware, který útočníci používají ke krádeži dat a přihlašovacích údajů). Čtěte více

Spyware v lednu posílil na pětinu všech detekcí

20. 2. 2024. (redaktor: František Doupal, zdroj: Eset)
Nebezpečné e-mailové přílohy šířící spyware Agent Tesla, spyware Formbook a password stealer Fareit byly nejčastějšími lednovými hrozbami pro uživatele operačního systému Windows v Česku. Přílohy útočníci dlouhodobě vydávají za doklady k objednávkám či za faktury. Buď byly opět součástí globálních kampaní, nebo v českém překladu cíleně zaměřeny na české uživatele. Čtěte více

České organizace čelí nejčastěji útokům zlodějského malwaru NanoCore

9. 2. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. Čtěte více