Ricompare il RAT Adwind: adesso attacca le società danesi

All’inizio del mese di luglio i ricercatori di Heimdal Security, società specializzata in sicurezza IT, hanno osservato un nuovo repentino aumento delle attività malevole condotte attraverso Adwind; i malintenzionati hanno iniziato a distribuire il noto malware RAT (Remote Access Trojan) tramite e-mail di spam nocivo inviate ad indirizzi corporate, riconducibili ad imprese situate in Danimarca.

I messaggi di spam in questione, elaborati in lingua inglese, vengono mascherati sotto forma di richieste di natura commerciale, relative a non ben specificati ordini od offerte, e risultano provvisti di un allegato dannoso in formato .jar (Java Archive). L’indirizzo del mittente, secondo quanto riferiscono gli esperti, appare chiaramente falso. Al momento dell’apertura del file nocivo allegato al messaggio, viene lanciata l’esecuzione del codice malevolo di Adwind; il computer sottoposto ad attacco entra in tal modo a far parte di un’estesa botnet.

L’attuale variante del malware comunica con un server C&C già utilizzato nell’ambito di altre campagne RAT, durante le quali si è fatto largamente ricorso all’impiego di servizi DNS dinamici. I ricercatori hanno ugualmente rilevato come, lungo tutto l’arco dell’esistenza del Trojan Adwind, i server di comando e controllo utilizzati dal RAT in causa siano stati periodicamente smantellati, per poi essere riattivati in seguito; la maggior parte di essi, effettivamente, fa uso di indirizzi DDNS.

“L’obiettivo che si prefiggono di raggiungere gli attacchi informatici appartenenti a questa specifica tipologia è sempre di duplice natura: l’esfiltrazione di dati sensibili dai computer via via compromessi e l’apertura di una backdoor, la quale consente poi agli attacker di poter caricare ulteriori programmi malware sulle macchine infette”, – scrive Andra Zaharia sul blog di Heimdal Security.

Nell’occasione, la ricercatrice non indica i nomi delle società che sono divenute oggetto degli attacchi mirati di spam qui sopra descritti, limitandosi ad osservare: “Adwind è stato spesso associato alla conduzione di sofisticate campagne APT; non è quindi motivo di particolare sorpresa il fatto che, in tale contesto, ci siamo imbattuti in un simile RAT”.

Come si può vedere, il metodo di diffusione della backdoor Adwind (alias Frutas, AlienSpy e JSocket), malware di tipo cross-platform e multifunzionale, è rimasto sostanzialmente invariato. Ricordiamo che, verso la fine dello scorso anno, i ricercatori di Kaspersky Lab avevano individuato un particolare messaggio di posta elettronica indirizzato ad una serie di istituti bancari di Singapore, contenente proprio il file nocivo .jar in questione. I risultati delle analisi condotte su tale malware RAT sono stati poi presentati dagli esperti del Global Research & Analysis Team (GReAT) in occasione del Security Analyst Summit SAS 2016, tenutosi nel mese di febbraio. A quel momento, il numero complessivo delle vittime di Adwind, secondo Kaspersky Lab, era stimato in non meno di 443.000 unità.

Threatpost.com

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *