SOS :: Security Operation Space
17 сентября, вторник, 00:00
|
Hot News:

RAT-троян Adwind атакует энергетический сектор США

21 августа 2019 г., среда, 13:10

В новой вредоносной кампании злоумышленники используют взломанный емейл-аккаунт.

Неизвестные злоумышленники нацелились на инфраструктуру электроэнергетической отрасли США. С помощью вредоносных писем сотрудникам предприятий доставляют RAT-троян Adwind.

Зловред, также известный как JRAT, SockRat, AlienSpy, JSocket, Frutas и Unrecom, используется для кражи информации. Он умеет делать снимки экрана, собирать учетные данные из Chrome, Internet Explorer и Microsoft Edge, записывать аудио и видео, фотографировать, считывать нажатия клавиш на клавиатуре, красть файлы, электронную переписку и VPN-сертификаты.

Adwind распространяется по модели «зловред как услуга». Приобрести троян на черном рынке может любой желающий.

«То, что к Adwind можно получить доступ, как к обычному сервису, очень беспокоит, — сказал в интервью Threatpost Боб Ноэль (Bob Noel), вице-президент по стратегическим отношениям компании Plixer. — Любой желающий может заплатить и атаковать предприятия, в ведении которых находятся объекты критической инфраструктуры».

По словам Майло Сальвии (Milo Salvia), исследователя из Cofense, текущие атаки начинаются с вредоносной рассылки. Письмо, попавшее в поле зрения экспертов, было отправлено со взломанного аккаунта компании Friary Shoes. В нем говорилось, что получатель должен подписать и вернуть копию квитанции об оплате. К письму прилагалось изображение со встроенной ссылкой, замаскированное под PDF-файл.

Если пользователь пытался открыть вложение, его автоматически перенаправляли на взломанный сайт Fletcher Specs, с которого на компьютер жертвы загружался зловред.

Первоначальная полезная нагрузка представляла собой файл JAR с именем Scan050819.pdf_obf.jar. Таким образом злоумышленники пытались скрыть истинное расширение и выдать его за PDF-документ. Этот JAR-файл в фоновом режиме создавал два процесса Java.exe, которые загружали два отдельных файла .class, содержащих Adwind. После этого зловред передавал сигнал на командно-контрольный сервер.

Чтобы избежать обнаружения, троян находил на компьютере самые распространенные антивирусные программы и средства анализа вредоносного ПО и отключал их при помощи процесса taskkill.exe.

«Заставить пользователей открывать вредоносные ссылки или вложения — это для злоумышленников по-прежнему самый успешный способ получить доступ к целевой системе, — сказал Ноэль. — Как Adwind, так и другие вредоносы часто имеют возможность, попав на устройство, отключать антивирусы».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:17
13:15
11:15
10:15
09:15
07:15
06:15
06:15
05:48
17:24
16:42
15:22
15:15
14:15
14:15
13:15
13:15
11:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.363
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.