История кросс-платформенного вредоносного кода Adwind началась в январе 2012 года. Один из пользователей хакерского форума сообщил, что разрабатывается новый комплекс для организации удаленного администрирования (Remote Administration Tool, RAT). В конце 2015 года эксперты зафиксировали атаку на банк в Сингапуре. Расследование обнаружило примечательный факт: при атаке использовался вредоносный код, корни которого уходят к тому самому сообщению на хакерском форуме...

Как выяснилось, злоумышленники использовали ставшую уже классической атаку типа «спирфишинг»: преступники рассылали на почтовые адреса сотрудников банка специально подготовленные электронные письма с прикрепленным файлом, содержащим вредоносный код. Анализ файла позволил опознать бэкдор, также известный как Adwind RAT.

Malware-as-a-Service как часть Crime-as-a-Service

Злоумышленники, преуспевшие в той или иной нише киберпреступности, нередко предлагают свои услуги другим злоумышленникам. Так рождаются CaaS в целом и MaaS в частности. Этим путем пошли и разработчики Adwind, которые реализовали модель подписки на пользование этим бэкдором. Злоумышленникам, не обладающим квалификацией в построении бот-сетей, рассылке вредоносного кода, организации хостинга для административной части и администрировании зараженных станций, теперь доступны комплекты для билда троянов, позволяющие заточить вредоносный код под нужды преступника и особенности планируемой атаки.

Это своеобразные WYSIWYG-редакторы в киберпреступном мире: злодею не обязательно вникать в технические подробности функционирования вредоносного кода — ему достаточно выбрать нужную функциональность из имеющегося арсенала и приступить к распространению полученного вредоносного кода (которое, кстати, тоже может быть MaaS-услугой).

Разумеется, эта бизнес-модель снижает порог входа для преступников. Им теперь не нужно обладать техническими навыками или быть частью какого-либо андерграудного комьюнити для того, чтобы оперативно начать монетизировать свои идеи. А конкуренция на данном рынке заставляет MaaS-разработчиков снижать цены на свои услуги.

Гибкая система подписок, которые разработчики Adwind предлагают другим киберпреступникам
Гибкая система подписок, которые разработчики Adwind предлагают другим киберпреступникам

JSocket.org — веб-сайт, при помощи которого злоумышленники довольно успешно (их годовой оборот, согласно приблизительным оценкам, составляет около 200 тысяч долларов) воплощают в жизнь концепцию MaaS. Кроме того, JSocket — название одной из реинкарнаций Adwind, который неоднократно светил свой исходный код в преступном сообществе и, как следствие, образовывал новые разновидности.

«Все для любимого пользователя!»
«Все для любимого пользователя!»

На своем веб-ресурсе злодеи предлагают не только саму малварь по подписке, но и техническую поддержку ее пользователя, дополнительные компоненты и модули, бесплатный VPN-сервис и проверку семпла различными антивирусными движками. Однако среди пользователей Adwind нашлись и куда более предприимчивые ребята, которые не стали ограничиваться заражениями обычных пользователей домашних компьютеров и выбрали цель покрупнее.

Пример фишинг-письма, содержащего вредоносное вложение, которое преступники отправляли финансовым организациям
Пример фишинг-письма, содержащего вредоносное вложение, которое преступники отправляли финансовым организациям

Устройства под управлением Windows, OS Х, Linux и Android — потенциальные мишени для злодеев, использующих данный бэкдор.

Как это работает

Обфусцированный JAR-контейнер, который жертва запускает из вложения к письму, содержит в себе бэкдор, подгружающий дополнительные модули на рабочую станцию жертвы — это позволяет обеспечить его относительно малый размер (порядка 130 Кбайт). После установки бэкдора злоумышленники могут, например, установить дополнительный модуль для получения изображений с веб-камеры или записи звука через встроенный микрофон.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Check Also

Неинновационные инновации. Откуда растут корни технологий Apple

Тройная камера, умный режим HDR, «ночной режим» Night Shift, True Tone, Liquid Retina Disp…

Оставить мнение