Эксперты «Лаборатории Касперского» рассказали о малвари, которая распространяется в редком на сегодня формате «вредоносное ПО как услуга». Впервые данный RAT (remote access trojan) был замечен еще в 2013 году, и с тех пор он известен под именами Adwind, AlienSpy, Frutas, Unrecom, Sockrat и jRAT. В общей сложности от Adwind пострадали уже более 440 тысяч пользователей и организаций по всему миру. Сейчас вредонос используется в основном для кибершпионажа.
Adwind написан на Java и по-настоящему универсален: существуют версии для Windows, Linux, Mac OS X и других платформ, которые поддерживают Java. Эксперты также замечали и модификации для мобильных платформ, в частности для Android.
Согласно данным «Лаборатории Касперского», малварь преимущественно распространяется через спам-рассылки, то есть используется не только в рамках хорошо спланированных кампаний. Впрочем, целевые атаки с использованием Adwind совсем не редкость. К примеру, в августе 2015 года Adwind был обнаружен на телефоне аргентинского прокурора, который умер при невыясненных обстоятельствах в январе прошлого года. В конце 2015 года, неизвестные попытались осуществить таргетированную атаку на один из банков Сингапура.
Adwind – мощное шпионское ПО, которое может как собирать данные, так и перехватить контроль над устройством жертвы. Известно, что вредонос способен работать как кейлоггер, делать снимки экрана, красть пароли и данные, хранящиеся в браузерах и веб-формах, фотографировать и осуществлять видеозапись с помощью веб-камеры, делать аудиозаписи при помощи микрофона, встроенного в устройство, собирать общие данные о пользователе и о системе, красть ключи от криптовалютных кошельков, а также VPN-сертификаты и, наконец, управлять SMS.
В отличие от другой малвари, которую можно купить за деньги, Adwind распространяется открыто в рамках единой платформы. «Клиент» платит за зловред как за сервис, которым он может пользоваться. Подписка обойдется в $25 за 15 дней или $300 в год. Кроме того, клиентам предлагаются дополнительные платные компоненты.
По данным «Лаборатории Касперского», в конце 2015 года в этой «сервисной» системе насчитывалось порядка 1800 пользователей, что делает Adwind одной из самых больших известных вредоносных платформ.
Эксперты «Лаборатории Касперского» отмечают: большинство потенциальных жертв Adwind работают в таких сферах как производство, финансы, строительство и проектирование, розничная торговля, логистика, телекоммуникации, разработка ПО, образование, здравоохранение, производство продуктов питания, энергетика, СМИ и правительство. При этом почти половина (49%) жертв Adwind находится всего в 10 странах: в России, ОАЭ, Германии, Индии, США, Италии, Вьетнаме, Гонконге, Турции и Тайване.
«Платформа Adwind в своем текущем состоянии значительно снижает минимальный уровень профессиональных знаний, требуемых от потенциального киберпреступника. В том же случае с сингапурским банком, который мы тщательно изучили, злоумышленник, организовавший атаку, был далеко не профессиональным хакером. И мы полагаем, что большинство «клиентов» Adwind имеют примерно тот же невысокий уровень компьютерных знаний и навыков. А это очень тревожная тенденция: получается, что при наличии вредоносного ПО в свободном доступе киберпреступной деятельностью может заниматься практически любой желающий», – отмечает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
Фото: scyther5/Shutterstock, "Лаборатория Касперского"
