440.000 usuarios y organizaciones afectados por Adwind

Adwind-portada

Preocupantes son sin duda alguna los resultados de la investigación que el Equipo de Análisis e Investigación de Kaspersky Lab (GREaT) acaba de publicar sobre Adwind RAT (Remote Access Tool), plataforma cruzada que contiene un programa de malware multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, que se distribuye a través de una sencilla plataforma de malware-as-a-service.

Este Adwind RAT es un backdoor en venta escrito completamente en Java, hecho que le permite ser multiplataforma. Puede ejecutarse en Windows, OS X, Linux y plataformas Android, hecho que le que permite control remoto de escritorio, recopilación de datos, exfiltración de datos, etc., de modo que si el usuario abre el archivo JAR adjunto, el malware se auto-instala e intenta comunicarse con el servidor de comando y control.

De acuerdo con los resultados del análisis llevado a cabo entre 2013 y 2016, han sido utilizadas diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios particulares y organizaciones en todo el mundo. La plataforma y el malware siguen activos.

A finales de 2015, durante una tentativa de ataque dirigido contra un banco en Singapur, los analistas de Kaspersky Lab detectaron la existencia de un programa de malware inusual. Dos hechos llamaron la atención de los analistas:

  • Las nuevas funcionalidades del archivo JAR malicioso, como por ejemplo el poder operar en múltiples plataformas, utilizado junto a un correo electrónico de phishing
  • El hecho de no haber sido detectado por ningún antivirus

Este software malicioso además, puede:

  • Recoger las pulsaciones de teclado
  • Robar contraseñas almacenadas en caché y los datos de acceso de formularios web
  • Hacer capturas de pantalla
  • Sacar fotografías y grabar vídeos con la cámara web
  • Grabar sonido desde el micrófono
  • Transferir archivos
  • Recopilar información general del sistema y del usuario
  • Robar claves para monederos virtuales
  • Administrar SMS (para Android)
  • Robar certificados VPN

Pese a que lo utilizan principalmente ciberatacantes oportunistas y se distribuye en campañas masivas de spam, se han detectado casos en los que también se utilizó Adwind en ataques dirigidos. Así, en agosto del año 2015, Adwind ya apareció en noticias relacionadas con el ciberespionaje contra El fiscal argentino Alberto Nismanun que fue encontrado muerto en enero de ese año. De igual modo, el incidente contra el banco de Singapur fue otro ejemplo de un ataque dirigido. Una mirada más en profundidad a eventos relacionados con el uso de Adwind RAT mostró que estos ataques dirigidos no fueron los únicos.


“A pesar de que en los últimos años varios fabricantes de seguridad han alertado sobre las diferentes generaciones de la herramienta, la plataforma sigue activa y “habitada” por cibercriminales de todo tipo. Hemos llevado a cabo esta investigación para llamar la atención de la comunidad de la seguridad así como de las autoridades para que se tomen las medidas necesarias para eliminarla por completo”, dice Vitaly Kamluk, director global de investigación & análisis de Kaspersky Lab en APAC


Adwind-Brief-History

Objetivos de Interés

Durante la intensiva investigación, los analistas de Kaspersky Lab lograron analizar cerca de 200 ejemplos de ataques de phishing organizados por cibercriminales desconocidos que expandían el malware Adwind, e identificaron los sectores de la mayor parte de los objetivos atacados:

  • Fábricas
  • Finanzas
  • Ingeniería
  • Diseño
  • Retail
  • Gobierno
  • Mensajería
  • Telecomunicaciones
  • Software
  • Educación
  • Producción de alimentos
  • Salud
  • Medios
  • Energía

Según la información de Kaspersky Security Network, las 200 muestras de ataques de phishing observados en los seis meses, entre agosto de 2015 y de enero de 2016, se detectaron en más de 68.000 usuarios.

La distribución geográfica de los usuarios atacados registrados por KSN durante este período muestra que casi la mitad de ellos (49%) estaban viviendo en los siguientes 10 países: Emiratos Árabes Unidos, Alemania, India, EE.UU., Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwán.

En base a los perfiles de los objetivos identificados, los investigadores de Kaspersky Lab creen que los clientes de la plataforma Adwind se dividen en las siguientes categorías: scammers que quieren subir de nivel (utilizando malware para llevar a cabo fraudes más complejos), competencia desleal, cibermercenarios y usuarios privados que quieren espiar a personas que conocen.

 


Threat-as-a-Service

Una de las características que diferencia a Adwind RAT de cualquier otro malware comercial es que se oferta abiertamente como servicio de pago, donde un “cliente” paga un fee por el uso del programa malicioso. Según Kaspersky Lab, se estima que había unos 1.800 usuarios en el sistema a finales de 2015, lo que la convierte en una de las mayores plataformas de malware de la actualidad.

“En su estado actual, la plataforma Adwind rebaja significativamente el conocimiento requerido por un cibercriminal que quiera iniciarse en estos menesteres. Tras nuestra investigación, podemos concluir que el ataque al banco de Singapur fue llevado a cabo por un criminal que estaba lejos de ser un hacker profesional y creemos que la mayoría de los “clientes“ de la plataforma Adwind tienen ese mismo nivel de conocimientos informáticos”, comenta Aleksandr Gostev, director de expertos de seguridad de Kaspersky Lab.

Este departamento ha reportado a las autoridades pertinentes sus hallazgos sobre la plataforma Adwind. Kaspersky Lab hace un llamamiento a las empresas para que valoren el uso de una plataforma Java y  eliminarla para todas las  fuentes no autorizadas.


 

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.