.gif)
zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Специалисты из Menlo Security обнаружили новую версию RAT-трояна Adwind, созданную специально для ОС Windows.
Вирус-троян Adwind (также называется AlienSpy, Frutas и другие) полностью написан на языке Java и чаще всего применяется для кражи данных с зараженных компьютеров. Ранее для вируса не было разницы, на какой ОС работать — Linux, macOS, Windows или Android. Версия, появившаяся 4 месяца назад, работает только на Windows и крадёт логины и пароли из Windows-приложений, таких как Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Помимо этого новая версия просматривает также данные, сохраненные в браузерах на основе Chromium, в том числе в Brave.
Adwind попадает на устройство в виде JAR-файла, скачиваемого по ссылке в письме со спамом или с фейкового сайта. Не раз было замечено заражение, источником которого был сайт WordPress необновлённой версии.
Вредоносный код в JAR-файле скрыт под несколькими слоями обфускации, чтобы не быть обнаруженным сигнатурными методами. После расшифровки кода происходит загрузка стартового набора компонентов трояна и соединение с C&C-сервером. IP-адрес центра управления Adwind выбирает в конфиг файле. Запрос на скачивание дополнительных JAR-файлов кодируется по AES и передаётся через TCP-порт 80. Получив всё необходимое для выполнения главной задачи, вирус по команде приступает к сбору учётных данных, которые затем отправляет на сервер злоумышленника.
Ситуация усугубляется тем, что опасную Java-функциональность довольно сложно отследить, поскольку Java повсеместно используется в Сети. Ограничить выполнение Java-функций не вариант: их используют слишком много современных веб-приложения и SaaS-сервисов. К тому же ни один сигнатурный анализатор не в состоянии точно отследить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить такую активность может лишь динамический анализ.
Впервые Adwind был замечен в 2013 году и по сей день с периодичностью попадает в поле зрения специалистов по информационной безопасности, демонстрируя новые версии и меняя свои основные цели. Последний раз он появлялся в августовских спам-рассылках, целью которых были энергетические компании Америки. Вирус имеется на чёрном рынке как услуга. Разработчики вируса уделяют много внимания способам обхода защиты. Так например, в 2018 году они опробовали сценарий заражения, применяющий DDE-макрос для маскировки вредоносного кода от антивирусов.
Вирус-троян Adwind (также называется AlienSpy, Frutas и другие) полностью написан на языке Java и чаще всего применяется для кражи данных с зараженных компьютеров. Ранее для вируса не было разницы, на какой ОС работать — Linux, macOS, Windows или Android. Версия, появившаяся 4 месяца назад, работает только на Windows и крадёт логины и пароли из Windows-приложений, таких как Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Помимо этого новая версия просматривает также данные, сохраненные в браузерах на основе Chromium, в том числе в Brave.
Adwind попадает на устройство в виде JAR-файла, скачиваемого по ссылке в письме со спамом или с фейкового сайта. Не раз было замечено заражение, источником которого был сайт WordPress необновлённой версии.
Вредоносный код в JAR-файле скрыт под несколькими слоями обфускации, чтобы не быть обнаруженным сигнатурными методами. После расшифровки кода происходит загрузка стартового набора компонентов трояна и соединение с C&C-сервером. IP-адрес центра управления Adwind выбирает в конфиг файле. Запрос на скачивание дополнительных JAR-файлов кодируется по AES и передаётся через TCP-порт 80. Получив всё необходимое для выполнения главной задачи, вирус по команде приступает к сбору учётных данных, которые затем отправляет на сервер злоумышленника.
Ситуация усугубляется тем, что опасную Java-функциональность довольно сложно отследить, поскольку Java повсеместно используется в Сети. Ограничить выполнение Java-функций не вариант: их используют слишком много современных веб-приложения и SaaS-сервисов. К тому же ни один сигнатурный анализатор не в состоянии точно отследить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить такую активность может лишь динамический анализ.
Впервые Adwind был замечен в 2013 году и по сей день с периодичностью попадает в поле зрения специалистов по информационной безопасности, демонстрируя новые версии и меняя свои основные цели. Последний раз он появлялся в августовских спам-рассылках, целью которых были энергетические компании Америки. Вирус имеется на чёрном рынке как услуга. Разработчики вируса уделяют много внимания способам обхода защиты. Так например, в 2018 году они опробовали сценарий заражения, применяющий DDE-макрос для маскировки вредоносного кода от антивирусов.
