News

Ricompare il RAT Adwind: adesso attacca le società danesi

All’inizio del mese di luglio i ricercatori di Heimdal Security, società specializzata in sicurezza IT, hanno osservato un nuovo repentino aumento delle attività malevole condotte attraverso Adwind; i malintenzionati hanno iniziato a distribuire il noto malware RAT (Remote Access Trojan) tramite e-mail di spam nocivo inviate ad indirizzi corporate, riconducibili ad imprese situate in Danimarca.

I messaggi di spam in questione, elaborati in lingua inglese, vengono mascherati sotto forma di richieste di natura commerciale, relative a non ben specificati ordini od offerte, e risultano provvisti di un allegato dannoso in formato .jar (Java Archive). L’indirizzo del mittente, secondo quanto riferiscono gli esperti, appare chiaramente falso. Al momento dell’apertura del file nocivo allegato al messaggio, viene lanciata l’esecuzione del codice malevolo di Adwind; il computer sottoposto ad attacco entra in tal modo a far parte di un’estesa botnet.

L’attuale variante del malware comunica con un server C&C già utilizzato nell’ambito di altre campagne RAT, durante le quali si è fatto largamente ricorso all’impiego di servizi DNS dinamici. I ricercatori hanno ugualmente rilevato come, lungo tutto l’arco dell’esistenza del Trojan Adwind, i server di comando e controllo utilizzati dal RAT in causa siano stati periodicamente smantellati, per poi essere riattivati in seguito; la maggior parte di essi, effettivamente, fa uso di indirizzi DDNS.

“L’obiettivo che si prefiggono di raggiungere gli attacchi informatici appartenenti a questa specifica tipologia è sempre di duplice natura: l’esfiltrazione di dati sensibili dai computer via via compromessi e l’apertura di una backdoor, la quale consente poi agli attacker di poter caricare ulteriori programmi malware sulle macchine infette”, – scrive Andra Zaharia sul blog di Heimdal Security.

Nell’occasione, la ricercatrice non indica i nomi delle società che sono divenute oggetto degli attacchi mirati di spam qui sopra descritti, limitandosi ad osservare: “Adwind è stato spesso associato alla conduzione di sofisticate campagne APT; non è quindi motivo di particolare sorpresa il fatto che, in tale contesto, ci siamo imbattuti in un simile RAT”.

Come si può vedere, il metodo di diffusione della backdoor Adwind (alias Frutas, AlienSpy e JSocket), malware di tipo cross-platform e multifunzionale, è rimasto sostanzialmente invariato. Ricordiamo che, verso la fine dello scorso anno, i ricercatori di Kaspersky Lab avevano individuato un particolare messaggio di posta elettronica indirizzato ad una serie di istituti bancari di Singapore, contenente proprio il file nocivo .jar in questione. I risultati delle analisi condotte su tale malware RAT sono stati poi presentati dagli esperti del Global Research & Analysis Team (GReAT) in occasione del Security Analyst Summit SAS 2016, tenutosi nel mese di febbraio. A quel momento, il numero complessivo delle vittime di Adwind, secondo Kaspersky Lab, era stimato in non meno di 443.000 unità.

Threatpost.com

Ricompare il RAT Adwind: adesso attacca le società danesi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox