История кросс-платформенного вредоносного кода Adwind началась в январе 2012 года. Один из пользователей хакерского форума сообщил, что разрабатывается новый комплекс для организации удаленного администрирования (Remote Administration Tool, RAT). В конце 2015 года эксперты зафиксировали атаку на банк в Сингапуре. Расследование обнаружило примечательный факт: при атаке использовался вредоносный код, корни которого уходят к тому самому сообщению на хакерском форуме...

Как выяснилось, злоумышленники использовали ставшую уже классической атаку типа «спирфишинг»: преступники рассылали на почтовые адреса сотрудников банка специально подготовленные электронные письма с прикрепленным файлом, содержащим вредоносный код. Анализ файла позволил опознать бэкдор, также известный как Adwind RAT.

Malware-as-a-Service как часть Crime-as-a-Service

Злоумышленники, преуспевшие в той или иной нише киберпреступности, нередко предлагают свои услуги другим злоумышленникам. Так рождаются CaaS в целом и MaaS в частности. Этим путем пошли и разработчики Adwind, которые реализовали модель подписки на пользование этим бэкдором. Злоумышленникам, не обладающим квалификацией в построении бот-сетей, рассылке вредоносного кода, организации хостинга для административной части и администрировании зараженных станций, теперь доступны комплекты для билда троянов, позволяющие заточить вредоносный код под нужды преступника и особенности планируемой атаки.

Это своеобразные WYSIWYG-редакторы в киберпреступном мире: злодею не обязательно вникать в технические подробности функционирования вредоносного кода — ему достаточно выбрать нужную функциональность из имеющегося арсенала и приступить к распространению полученного вредоносного кода (которое, кстати, тоже может быть MaaS-услугой).

Разумеется, эта бизнес-модель снижает порог входа для преступников. Им теперь не нужно обладать техническими навыками или быть частью какого-либо андерграудного комьюнити для того, чтобы оперативно начать монетизировать свои идеи. А конкуренция на данном рынке заставляет MaaS-разработчиков снижать цены на свои услуги.

Гибкая система подписок, которые разработчики Adwind предлагают другим киберпреступникам
Гибкая система подписок, которые разработчики Adwind предлагают другим киберпреступникам

JSocket.org — веб-сайт, при помощи которого злоумышленники довольно успешно (их годовой оборот, согласно приблизительным оценкам, составляет около 200 тысяч долларов) воплощают в жизнь концепцию MaaS. Кроме того, JSocket — название одной из реинкарнаций Adwind, который неоднократно светил свой исходный код в преступном сообществе и, как следствие, образовывал новые разновидности.

«Все для любимого пользователя!»
«Все для любимого пользователя!»

На своем веб-ресурсе злодеи предлагают не только саму малварь по подписке, но и техническую поддержку ее пользователя, дополнительные компоненты и модули, бесплатный VPN-сервис и проверку семпла различными антивирусными движками. Однако среди пользователей Adwind нашлись и куда более предприимчивые ребята, которые не стали ограничиваться заражениями обычных пользователей домашних компьютеров и выбрали цель покрупнее.

Пример фишинг-письма, содержащего вредоносное вложение, которое преступники отправляли финансовым организациям
Пример фишинг-письма, содержащего вредоносное вложение, которое преступники отправляли финансовым организациям

Устройства под управлением Windows, OS Х, Linux и Android — потенциальные мишени для злодеев, использующих данный бэкдор.

Как это работает

Обфусцированный JAR-контейнер, который жертва запускает из вложения к письму, содержит в себе бэкдор, подгружающий дополнительные модули на рабочую станцию жертвы — это позволяет обеспечить его относительно малый размер (порядка 130 Кбайт). После установки бэкдора злоумышленники могут, например, установить дополнительный модуль для получения изображений с веб-камеры или записи звука через встроенный микрофон.

Ключевые этапы атак Adwind
Ключевые этапы атак Adwind

Детальный анализ зловреда можно найти в соответствующем отчете исследователей «Adwind — a crossplatform RAT»; в двух словах, он обладал следующей функциональностью:

  • захват видео с установленной на рабочей станции веб-камеры;
  • перехват нажатий клавиш;
  • кража паролей из популярных браузеров, баз данных и Outlook;
  • запись звука при помощи встроенного микрофона;
  • удаленный рабочий стол;
  • кража ключей для кошельков криптовалют.
Топ-10 стран по количеству жертв, зараженных бэкдором Adwind (по данным ЛК за январь 2016)
Топ-10 стран по количеству жертв, зараженных бэкдором Adwind (по данным ЛК за январь 2016)

Неспецифическая защита: для защиты от этой атаки даже не нужен был антивирус!

Чтобы закрепиться на рабочей станции, злоумышленник должен спровоцировать жертву открыть вредоносное вложение в фишинговом письме. На данной стадии с угрозой фишинговой корреспонденции успешно справляются существующие антиспам-технологии, задача которых — отправить за борт письмо с JAR-вложением. В данном случае, как обычно это бывает на начальных стадиях атаки, ключевую роль играет человеческий фактор.

После закрепления на рабочих станциях и сбора нужной информации злоумышленникам необходимо вывести ценные данные на свои серверы — последний этап довольно тривиального жизненного цикла атаки. Adwind пытается подключиться к серверам злоумышленников. А это означает, что корректно настроенные средства межсетевого экранирования, запрещающие внешние подключения к IP-адресам, не присутствующим в белом списке, заблокируют попытку вредоносного кода отправить важную информацию злоумышленникам.

Оставить мнение