Kaspersky Lab ha pubblicato una dettagliata ricerca sul Remote Access Tool (RAT) Adwind

redazione

Alla fine del 2015, i ricercatori di Kaspersky Lab sono venuti a conoscenza di un insolito programma dannoso che era stato scoperto durante un tentativo di attacco mirato a una banca di Singapore. Un file JAR nocivo era stato allegato a un’email di spear-phishing ricevuta da un impiegato della banca. Le avanzate funzionalità del malware, comprese la sua capacità di funzionare su diverse piattaforme e la particolarità di non venire rilevato da alcuna soluzione antivirus, hanno immediatamente catturato l’attenzione dei ricercatori.

Il RAT Adwind

È stato scoperto che l’organizzazione era stata attaccata dal RAT Adwind, una backdoor facilmente acquistabile e che essendo completamente scritta in Java è multi-piattaforma. Può funzionare sulle piattaforme Windows, OS X, Linux e Android offrendo funzionalità per il controllo da remoto del desktop, la raccolta di informazioni, il furto di dati, e così via.

Se l’utente preso di mira apre il file JAR in allegato, il malware si installa automaticamente e prova a comunicare con il server di comando e controllo. L’elenco delle funzionalità del malware comprende la capacità di:

·         Registrare le sequenze di tasti

·         Rubare le password archiviate e ottenere informazioni dai moduli web

·         Fare screenshot

·         Fare foto e video dalla webcam

·         Registrare i suoni dal microfono

·         Trasferire file

·         Raccogliere informazioni generali sul sistema e sull’utente

·         Rubare le password per i wallet delle criptovalute

·         Gestire i messaggi (per Android)

·         Rubare i certificati VPN

Sebbene venga principalmente distribuito con campagne spam di massa, sono stati registrati casi in cui Adwind è stato usato per attacchi mirati. Ad esempio, ad agosto 2015 Adwind è stato citato nelle notizie sulla campagna di cyber spionaggio contro un pubblico ministero argentino che era stato trovato morto a gennaio 2015. Il caso della banca di Singapore è un altro esempio di attacco mirato e uno studio approfondito degli eventi legati all’utilizzo del RAT Adwind ha mostrato che questi attacchi mirati non sono stati gli unici.

Obiettivi di interesse

Durante l’indagine, gli esperti di Kaspersky Lab sono stati in grado di analizzare quasi 200 esempi di attacchi di spear-phishing lanciati da criminali sconosciuti per diffondere il malware Adwind e hanno potuto identificare i settori maggiormente presi di mira:

·         Industria manifatturiera

·         Finanza

·         Ingegneria

·         Progetazione

·         Vendita al dettaglio

·         Governi

·         Spedizioni

·         Telecomunicazioni

·         Sviluppo software

·         Istruzione

·         Produzione alimentare

·         Salute

·         Media

·         Energia

Secondo le informazioni del Kaspersky Security Network, i 200 esempi di attacchi di spear-phishing osservati nei sei mesi tra agosto 2015 e gennaio 2016 hanno portato più di 68.000 utenti a incontrare campioni del malware RAT Adwind.

La distribuzione geografica delle vittime degli attacchi registrati dal KSN durante il periodo in questione mostra che quasi la metà di loro (49%) vivevano nei seguenti 10 Paesi: Emirati Arabi Uniti, Germania, India, Stati Uniti, Italia, Russia, Vietnam, Hong Kong, Turchia e Taiwan.

In base ai profili degli obiettivi identificati, i ricercatori di Kaspersky Lab credono che i clienti della piattaforma Adwind rientrino nelle seguenti categorie: truffatori che vogliono passare al livello successivo (usando il malware per frodi più avanzate), competitor sleali, cyber mercenari (spie che possono essere assoldate) e utenti privati che vogliono spiare persone conosciute.

Minaccia as-a-service

Una delle principali caratteristiche che distinguono il RAT Adwind dagli altri malware commerciali è che viene distribuito apertamente in forma di servizio a pagamento, dove il “cliente” paga un prezzo in cambio del programma nocivo. Sulla base di un’indagine delle attività degli utenti sulla bacheca interna e di altre osservazioni, i ricercatori di Kaspersky Lab hanno stimato che alla fine del 2015 fossero 1.800 gli utenti nel sistema. Questo lo rende una delle principali piattaforme malware oggi esistenti.

“La piattaforma Adwind nel suo stato attuale abbassa significativamente le competenze professionali minime necessarie per un potenziale criminale che voglia entrare nel mondo del cyber crimine. Secondo la nostra indagine sull’attacco rivolto contro la banca di Singapore, il criminale che l’ha lanciato non era sicuramente un hacker professionista e crediamo che molti dei “clienti” della piattaforma Adwind abbiano lo stesso livello di competenza informatica. Si tratta di un trend preoccupante”, ha commentato Aleksandr Gostev, Chief Security Expert di Kaspersky Lab.

“Nonostante i numerosi report sulle diverse generazioni di questo tool pubblicate negli ultimi anni dai vendor di sicurezza, la piattaforma è ancora attiva e visitata da criminali di ogni genere. Abbiamo condotto questa ricerca per attirare l’attenzione della comunità di sicurezza e delle forze dell’ordine su questa minaccia e per compiere i passi necessari per fermarla definitivamente”, ha commentato Vitaly Kamluk, Direttore del Global Research & Analysis Team per l’area APAC di Kaspersky Lab.

Kaspersky Lab ha riferito le proprie scoperte sulla piattaforma Adwind alle forze dell’ordine.

Per proteggere voi e la vostra organizzazione da questa minaccia, Kaspersky Lab invita le aziende a rivedere lo scopo dell’utilizzo della piattaforma Java e a disabilitarla per tutte le fonti non autorizzate.