zhema
New member
Специалисты из Menlo Security обнаружили новую версию RAT-трояна Adwind, созданную специально для ОС Windows.
Вирус-троян (также называется AlienSpy, Frutas и другие) полностью написан на языке Java и чаще всего применяется для кражи данных с зараженных компьютеров. Ранее для вируса не было разницы, на какой ОС работать — Linux, macOS, Windows или Android. Версия, появившаяся 4 месяца назад, работает только на Windows и крадёт логины и пароли из Windows-приложений, таких как Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Помимо этого новая версия просматривает также данные, сохраненные в браузерах на основе Chromium, в том числе в Brave.
Adwind попадает на устройство в виде JAR-файла, скачиваемого по ссылке в письме со спамом или с фейкового сайта. Не раз было замечено заражение, источником которого был сайт WordPress необновлённой версии.
Вредоносный код в JAR-файле скрыт под несколькими слоямиобфускации,чтобы не быть обнаруженным сигнатурными методами. После расшифровки кода происходит загрузка стартового набора компонентов трояна и соединение с C&C-сервером. IP-адрес центра управления Adwind выбирает в конфиг файле. Запрос на скачивание дополнительных JAR-файлов кодируется по AES и передаётся через TCP-порт 80. Получив всё необходимое для выполнения главной задачи, вирус по команде приступает к сбору учётных данных, которые затем отправляет на сервер злоумышленника.
Ситуация усугубляется тем, что опасную Java-функциональность довольно сложно отследить, поскольку Java повсеместно используется в Сети. Ограничить выполнение Java-функций не вариант: их используют слишком много современных веб-приложения и SaaS-сервисов. К тому же ни один сигнатурный анализатор не в состоянии точно отследить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить такую активность может лишь динамический анализ.
Впервые Adwind был замечен в 2013 году и по сей день с периодичностью попадает в поле зрения специалистов по информационной безопасности, демонстрируя новые версии и меняя свои основные цели. Последний раз он появлялся вспам-рассылках, целью которых были энергетические компании Америки. Вирус имеется на чёрном рынке. Разработчики вируса уделяют много внимания способам обхода защиты. Так например, в 2018 году они опробовали сценарий заражения,применяющийDDE-макрос для маскировки вредоносного кода от антивирусов.
Вирус-троян (также называется AlienSpy, Frutas и другие) полностью написан на языке Java и чаще всего применяется для кражи данных с зараженных компьютеров. Ранее для вируса не было разницы, на какой ОС работать — Linux, macOS, Windows или Android. Версия, появившаяся 4 месяца назад, работает только на Windows и крадёт логины и пароли из Windows-приложений, таких как Internet Explorer, Outlook, бизнес-программ, банковских клиентов. Помимо этого новая версия просматривает также данные, сохраненные в браузерах на основе Chromium, в том числе в Brave.
Adwind попадает на устройство в виде JAR-файла, скачиваемого по ссылке в письме со спамом или с фейкового сайта. Не раз было замечено заражение, источником которого был сайт WordPress необновлённой версии.
Вредоносный код в JAR-файле скрыт под несколькими слоямиобфускации,чтобы не быть обнаруженным сигнатурными методами. После расшифровки кода происходит загрузка стартового набора компонентов трояна и соединение с C&C-сервером. IP-адрес центра управления Adwind выбирает в конфиг файле. Запрос на скачивание дополнительных JAR-файлов кодируется по AES и передаётся через TCP-порт 80. Получив всё необходимое для выполнения главной задачи, вирус по команде приступает к сбору учётных данных, которые затем отправляет на сервер злоумышленника.
Ситуация усугубляется тем, что опасную Java-функциональность довольно сложно отследить, поскольку Java повсеместно используется в Сети. Ограничить выполнение Java-функций не вариант: их используют слишком много современных веб-приложения и SaaS-сервисов. К тому же ни один сигнатурный анализатор не в состоянии точно отследить первоначальную JAR-нагрузку Adwind среди миллионов входящих и исходящих команд Java в корпоративной сети. Выявить такую активность может лишь динамический анализ.
Впервые Adwind был замечен в 2013 году и по сей день с периодичностью попадает в поле зрения специалистов по информационной безопасности, демонстрируя новые версии и меняя свои основные цели. Последний раз он появлялся вспам-рассылках, целью которых были энергетические компании Америки. Вирус имеется на чёрном рынке. Разработчики вируса уделяют много внимания способам обхода защиты. Так например, в 2018 году они опробовали сценарий заражения,применяющийDDE-макрос для маскировки вредоносного кода от антивирусов.