20/08/19
Исследователи компании Cofense обнаружили новую вредоносную кампанию, нацеленную на предприятия электроэнергетической промышленности. С помощью фишинговых писем злоумышленники пытаются заразить компьютерные сети компаний трояном для удаленного доступа (RAT) Adwind.
Создатели Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat) предлагают его своим клиентам по схеме «вредоносное ПО как услуга» (malware-as-a-service, MaaS). Вредонос отличается впечатляющим функционалом – он способен похищать конфиденциальные данные (цифровые сертификаты и учетные данные пользователей Chrome, IE и Edge), регистрировать нажатия клавиш на клавиатуре, записывать аудио и видео, делать фотоснимки с помощью web-камеры скомпрометированного устройства, майнить криптовалюту и похищать криптовалютные кошельки.
В данной конкретной кампании злоумышленники рассылают фишинговые письма исключительно сотрудникам предприятий электроэнергетической промышленности, успешно обходя спам-фильтры. Письма рассылаются со взломанной электронной почты компании Friary Shoes, при этом ее серверы используются для хранения и доставки Adwind на компьютеры жертв.
Фишинговые письма содержат вложение, внешне похожее на PDF-документ, но на самом деле являющееся jpg-файлом со встроенной гиперссылкой. Когда жертва нажимает на вложение, то переходит по вредоносной URL-ссылке, откуда на ее систему загружается первоначальная полезная нагрузка (JAR-файл Scan050819.pdf_obf.jar).
Загрузившись на компьютер, Adwind подключается к C&C-серверу и добавляет все зависимости и собранные данные в папку C:\Users\Byte\AppData\Local\Temp\. На втором этапе заражения вредонос находит и отключает известное аналитическое и антивирусное ПО с помощью легитимной утилиты taskkill от Microsoft.
