Adwind kehrt zurück und greift dänische Unternehmen an

In den ersten Julitagen registrierten die Forscher des dänischen IT-Sicherheitsunternehmens Heimdal Security einen erneuten Anstieg der Aktivität des RAT-Schädlings Adwind, und zwar ging er via Spam an die Unternehmensadressen dänischer Anwender.

Die gefälschten englischsprachigen Mitteilungen kommen als geschäftliche Anfragen daher, die angeblich mit irgendeinem Auftrag zu tun haben. Die Mails sind mit einem Anhang im Format .jar (Java-Archiv) versehen. Die Adresse des Absenders ist nach Aussage der Experten eindeutig gefälscht. Beim Öffnen der schädlichen Datei wird der Adwind-Code ausgeführt und der Rechner des Opfers einem Botnetz angeschlossen.

Die aktuelle Variante des Schädlings kommuniziert mit einem C&C-Server, der auch schon in anderen RAT-Kampagnen, die dynamische Adressierung verwenden (DDNS), in Erscheinung getreten war. Die Forscher wiesen darauf hin, dass die Server von Adwind seit Bestehen des Schädlings in Abständen immer wieder abgeschaltet wurden, um dann erneut aufzutauchen; die meisten von ihnen verwenden DDNS.

„Eine Attacke dieses Typs hat immer zwei Ziele gleichzeitig: Das Abziehen von Informationen aus der kompromittierten Organisation und das Öffnen einer Backdoor, die von den Angreifern genutzt wird, um weitere Schadsoftware auf die infizierten Maschinen zu laden“, schreibt Andra Zaharia im Blog von Heimdal.

Die Forscherin gibt den Namen der Unternehmen nicht preis, die sich im Visier der zielgerichteten Spam-Attacken befanden, sie merkt lediglich an: „Adwind wurde schon häufig mit raffinierten APT-Kampagnen in Verbindung gebracht, so dass es nicht überraschend ist, in diesem Zusammenhang auf ihn zu treffen.“

Die Verbreitungsmethode der Plattform übergreifenden Backdoor Adwind, alias Frutas, AlienSpy und JSocket, hat sich – wie man sieht – kein bisschen geändert. Ende vergangenen Jahres entdeckten die Forscher von Kaspersky Lab eine mit diesem Schädling infizierte E-Mail, die an die Adressen mehrerer singapurischer Banken geschickt worden war. Die Ergebnisse der Analyse dieses RAT-Schädlings präsentierten die Experten auf dem Kaspersky Security Analyst Summit (SAS) 2016 im Februar dieses Jahres. Zu dem Zeitpunkt betrug die Zahl der Adwind-Opfer nach Einschätzungen von Kaspersky Lab nicht weniger als 443.000.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.