Sicurezza

Adwind: la piattaforma malware fai-da-te

51
Adwind

Alla fine del 2015, i ricercatori di Kaspersky Lab sono venuti a conoscenza di un insolito programma dannoso che era stato scoperto durante un tentativo di attacco mirato a una banca di Singapore. Un file JAR nocivo era stato allegato a un’email di spear-phishing ricevuta da un impiegato della banca. Le avanzate funzionalità del malware, comprese la sua capacità di funzionare su diverse piattaforme e la particolarità di non venire rilevato da alcuna soluzione antivirus, hanno immediatamente catturato l’attenzione dei ricercatori.

Il RAT Adwind

È stato scoperto che l’organizzazione era stata attaccata dal RAT Adwind, una backdoor facilmente acquistabile e che essendo completamente scritta in Java è multi-piattaforma. Può funzionare sulle piattaforme Windows, OS X, Linux e Android offrendo funzionalità per il controllo da remoto del desktop, la raccolta di informazioni, il furto di dati, e così via.

Se l’utente preso di mira apre il file JAR in allegato, il malware si installa automaticamente e prova a comunicare con il server di comando e controllo. L’elenco delle funzionalità del malware comprende la capacità di:

  • Registrare le sequenze di tasti
  • Rubare le password archiviate e ottenere informazioni dai moduli web
  • Fare screenshot
  • Fare foto e video dalla webcam
  • Registrare i suoni dal microfono
  • Trasferire file
  • Raccogliere informazioni generali sul sistema e sull’utente
  • Rubare le password per i wallet delle criptovalute
  • Gestire i messaggi (per Android)
  • Rubare i certificati VPN

Sebbene venga principalmente distribuito con campagne spam di massa, sono stati registrati casi in cui Adwind è stato usato per attacchi mirati. Ad esempio, ad agosto 2015 Adwind è stato citato nelle notizie sulla campagna di cyber spionaggio contro un pubblico ministero argentino che era stato trovato morto a gennaio 2015. Il caso della banca di Singapore è un altro esempio di attacco mirato e uno studio approfondito degli eventi legati all’utilizzo del RAT Adwind ha mostrato che questi attacchi mirati non sono stati gli unici.

Obiettivi di interesse

Durante l’indagine, gli esperti di Kaspersky Lab sono stati in grado di analizzare quasi 200 esempi di attacchi di spear-phishing lanciati da criminali sconosciuti per diffondere il malware Adwind e hanno potuto identificare i settori maggiormente presi di mira:

  • Industria manifatturiera
  • Finanza
  • Ingegneria
  • Progetazione
  • Vendita al dettaglio
  • Governi
  • Spedizioni
  • Telecomunicazioni
  • Sviluppo software
  • Istruzione
  • Produzione alimentare
  • Salute
  • Media
  • Energia

Secondo le informazioni del Kaspersky Security Network, i 200 esempi di attacchi di spear-phishing osservati nei sei mesi tra agosto 2015 e gennaio 2016 hanno portato più di 68.000 utenti a incontrare campioni del malware RAT Adwind.

adwind

La distribuzione geografica delle vittime degli attacchi registrati dal KSN durante il periodo in questione mostra che quasi la metà di loro (49%) vivevano nei seguenti 10 Paesi: Emirati Arabi Uniti, Germania, India, Stati Uniti, Italia, Russia, Vietnam, Hong Kong, Turchia e Taiwan.

Adwind

In base ai profili degli obiettivi identificati, i ricercatori di Kaspersky Lab credono che i clienti della piattaforma Adwind rientrino nelle seguenti categorie: truffatori che vogliono passare al livello successivo (usando il malware per frodi più avanzate), competitor sleali, cyber mercenari (spie che possono essere assoldate) e utenti privati che vogliono spiare persone conosciute.

Minaccia as-a-service

Una delle principali caratteristiche che distinguono il RAT Adwind dagli altri malware commerciali è che viene distribuito apertamente in forma di servizio a pagamento, dove il “cliente” paga un prezzo in cambio del programma nocivo. Sulla base di un’indagine delle attività degli utenti sulla bacheca interna e di altre osservazioni, i ricercatori di Kaspersky Lab hanno stimato che alla fine del 2015 fossero 1.800 gli utenti nel sistema. Questo lo rende una delle principali piattaforme malware oggi esistenti.

“La piattaforma Adwind nel suo stato attuale abbassa significativamente le competenze professionali minime necessarie per un potenziale criminale che voglia entrare nel mondo del cyber crimine. Secondo la nostra indagine sull’attacco rivolto contro la banca di Singapore, il criminale che l’ha lanciato non era sicuramente un hacker professionista e crediamo che molti dei “clienti” della piattaforma Adwind abbiano lo stesso livello di competenza informatica. Si tratta di un trend preoccupante”, ha commentato Aleksandr Gostev, Chief Security Expert di Kaspersky Lab.

“Nonostante i numerosi report sulle diverse generazioni di questo tool pubblicate negli ultimi anni dai vendor di sicurezza, la piattaforma è ancora attiva e visitata da criminali di ogni genere. Abbiamo condotto questa ricerca per attirare l’attenzione della comunità di sicurezza e delle forze dell’ordine su questa minaccia e per compiere i passi necessari per fermarla definitivamente”, ha commentato Vitaly Kamluk, Direttore del Global Research & Analysis Team per l’area APAC di Kaspersky Lab.

Kaspersky Lab ha riferito le proprie scoperte sulla piattaforma Adwind alle forze dell’ordine.

Per proteggere voi e la vostra organizzazione da questa minaccia, Kaspersky Lab invita le aziende a rivedere lo scopo dell’utilizzo della piattaforma Java e a disabilitarla per tutte le fonti non autorizzate.

adwind

Ultime notizie
Economia

Eurispes, Fara: “Lo Stato torni proprietario e gestore delle grandi infrastrutture del paese”

"Autostrade, telecomunicazioni, energia, porti e grande logistica: dopo gli anni delle privatizzazioni per fare cassa, il Paese deve tornare proprietario e gestore delle grandi infrastrutture e dire basta allo shopping delle multinazionali straniere"
di redazione
Il punto

Per rimettere in corsa l’Italia, veloci pit stop, non megariforme

È la mancanza di infrastrutture il primo freno alla crescita del Paese. Lo Stato spende meno di 20 miliardi di euro l’anno,...
di Corrado Giustiniani
International

Così la “Fortezza Europa” avalla i respingimenti in mare

Negli ultimi anni l’Unione europea è stata protagonista di una gestione sempre più securitaria dei flussi migratori che hanno investito il proprio territorio. La tesi viene spiegat in un saggio di Marco Omizzolo e Pina Sodano, presentato a Wocmes 2018, Congresso mondiale di studi mediorientali.
di Marco Omizzolo
International

Proposta shock: “Il voto ‘ignorante’ valga meno di quello informato”

Il suffragio universale? Sopravvalutato. Il voto ‘ignorante’ valga meno di quello ‘informato’. Il voto ponderato é la proposta di Dambisa Moyo, una importante economista americana, originaria dello Zambia, autrice del libro Edge of chaos
di Alfonso Lo Sardo
Sondaggi & Ricerche

Con un animale in casa, niente viaggio per la metà dei padroni

Nell’ultimo anno oltre 2 italiani su 10 hanno confessato di aver speso di più per viaggi e vacanze, nonostante la crisi non sia ancora del tutto superata. Ma l'amore per i propri animali e la paura del terrorismo frenano la voglia di viaggi.
di redazione
Salute

Il Piano Sanità del ministro Grillo: più fondi e meno liste d’attesa

Sanità e salute: il neo ministro Giulia Grillo ha illustrato le linne programmatiche del suo mandato. Vaccini, risorse per la sanità, liste d’attesa da ridurre e aumento della trasparenza.
di redazione
Ambiente

Porto Hub di Palermo. “Piano ecosostenibile da 435.000 posti”

Un nuovo porto Hub a Palermo: è il progetto dell’Eurispes, presentato a palazzo d’Orleans, sede della presidenza della Regione. Tutti i dettagli
di Alfonso Lo Sardo
Intervista

Educazione civica nelle scuole, Bruno Assumma: “Magistra vitae”

"L'educazione civica la personalità deve servire a stimolare una visione della vita e un "modus operandi" nella società", sostiene il professor Assumma.
di Valentina Renzopaoli
Intervista

Stefano Molina: «Educazione civica mirata allo sviluppo sostenibile»

Educazione civica nelle scuole: "Sì all'insegnamento dell'educazione civica, no al voto. La cittadinanza globale non è istruzione, ma educazione", sostiene Stefano Molina della Fondazione Agnelli
di Corrado Giustiniani
Intervista

Romeo (Lega): «La difesa deve essere legittima sempre»

Legittima difesa: "Se una persona sa che svaligiando una casa la farà sempre franca, non avrà nessun incentivo a smettere di delinquere". Il dibattito prosegue con l'opinione di Massimiliano Romeo, capogruppo della Lega al Senato.
di Corrado Giustiniani