Целевая рассылка Adwind в Италии

Как ранее сообщала компания Fortinet, авторы RAT Adwind недавно запустили масштабную кампанию по распространению вредоносной программы через электронные письма с PDF-вложениями, нацеленную на Испанию, Португалию и Италию.

HTML-файл содержит скрипт, который проверяет язык, установленный в браузере. Было выявлено два варианта этого файла: первый проверяет, что язык не английский, а второй исключает как английский, так и русский. В обоих случаях, если язык соответствует исключенному, VBS-файл не загружается, а показывается только PDF, используемый в качестве приманки.

VBS-код после обмана представляет серию начальных комментариев, содержащих слова песни Negro Drama, за которыми следует активный код, загружающий PDF-документ с Google Drive по тому же URL, о котором уже сообщалось Fortinet. Во время открытия поддельного PDF-документа, чтобы отвлечь жертву, параллельно происходит загрузка ZIP-архива размером около 90 МБ с сайта ngrok.dev.

В отличие от того, что наблюдал Fortinet, где загружался JAR-файл, который исполнялся только при наличии Java в системе, ZIP-пакет, обнаруженный в этой кампании, содержит как необходимое Java-окружение, так и JAR-файл, замаскированный под PNG-изображение (InvoiceXpress.png), которое исполняется через CMD-скрипт (InvoiceXpress.cmd).

Как уже отмечалось, JAR-файл замаскирован под PNG-изображение. Наличие файла контрольной суммы внутри JAR, который используется для конфигурации, а также структура кода подтверждают его принадлежность к вредоносной программе Adwind.

Конфигурация, зашифрованная с помощью AES в режиме ECB, может быть легко расшифрована с помощью следующего рецепта CyberChef.

Анализ домена, используемого в качестве хоста (порт 4414), еще раз подтверждает, что поддомен принадлежит домену localto.net, который уже был обнаружен в ходе расследований Fortinet и анализов других исследователей на X.

Несмотря на то что Adwind разработан как многоплатформенный продукт, анализируемый вариант, как и те, что были выявлены в предыдущие годы, ориентирован именно на заражение систем Windows.

Domains

• 1po56mdxc.localto.net
• fdsxzxcgghadahdhgadsfdsfhghgcxvyjdsjjthrgbewagddxhg.ngrok.dev
• jw8ndw9ev.localto.net
• l5ugb6qxh.localto.net

URLs

• https://drive.google.com/file/d/1kaW-o2QIPfHRAQ4_-7P3BEv8LLDhG7D2/view
• https://fdsxzxcgghadahdhgadsfdsfhghgcxvyjdsjjthrgbewagddxhg.ngrok.dev/InvoiceXpress.zip
• https://onedrive.live.com/view.aspx?resid=8C0D81A93719190!s8a7f81a571824cbeb1e26a36d760f9e5&redeem=aHR0cHM6Ly8xZHJ2Lm1zL2IvYy8wOGMwZDgxYTkzNzE5MTkwL0VhV0JmNHFDY2I1TXNlSnFOdGRnLWVVQkJtYko0NS0tWDQ4S2pucmhzdkFaNVE_ZT1jNWROUWQ
• https://www.dropbox.com/scl/fi/ry50ggzcazvup9ysg8c71/Fattura-Online-15052025.html?rlkey=brqakzw8bzylsobl365jzcgxy&st=py7w2scd&dl=1

MD5

• 31c4d7f2426c472d06187f92fa239932
• 6b65b4539c38bd8637f37109062c0fc2
• b285c6e0fe6d7c03a773490ef3c6664a
• da843e3ae959e805a5501a88ff135174
• debe1d6590cd3d33fbd07bbca6184446
• e956a322a98bc5a641014a0feb79f271
• fa4d23db65a28bd9a2b989e5b0e0c42d

SHA1

• 180bfbb1ca505dd3785c3f60b3bf1bc2d7bb4fc2
• 43e0e4b8118b9293fee4436892b4c019512eb2c5
• 65eb1fb9deba2229606760e2b88f339c2ac55efd
• 6ee4537f579288e82bacbcb472b86ec07911246c
• c62f38cf9a3072011eb6f05656cfecc204514b58
• d1536a921d7d9fcab7dc35d64a3f8564b026098b
• e968edb3cee279d2c0f81a5765e3b8a13ffd3270

SHA256

• 1641c5a4d18f706900888f7fb46a2632f701b717f9f827b9c8b799a4ff89e7c5
• 257c918b25bca5ada14f5022e488899087333e3c4dcc96a4326642d123526a35
• 7b0e104fabb376c00379b81b138f853d2df760a9050266e8384f07be211f07df
• baffee8dbb99d2c7b061378e685f8b8a191be2c0de75e878b83db5a8981e39f9
• cfd550a09d257e80db311f0d37459336bc4faa1bbeab6595503305f3ce42bcf4
• db1716c5bb89da12136792992100295c8c013372c4cd1c6dfeb52e370cf08956
• e3cc938d60bce168a457adfa01d5c4e2cb08a6e9fb1d5f48bf9ef5c2cdf0906d