Adwind Trojan

Adwind RAT, иногда также называемый Unrecom, Sockrat, Frutas, jRat и JSocket, - это вредоносный троянец удаленного доступа Malware As A Service, который злоумышленники могут использовать для сбора информации с зараженных машин. Он был одним из самых популярных RAT на рынке в 2015 году.

Что такое Adwind RAT?

Adwind RAT, иногда также называемый Unrecom, Sockrat, Frutas, jRat и JSocket, представляет собой троян удаленного доступа, доступный как MaaS (Malware-As-A-Service). Adwind может собирать пользовательские и системные данные, контролировать веб-камеру зараженного компьютера, делать скриншоты, устанавливать и запускать другие вредоносные программы, регистрировать нажатия клавиш, красть пароли веб-браузеров и многое другое.

Впервые обнаруженный в январе 2012 года, Adwind нельзя назвать новым вредоносным ПО, но, несмотря на возраст, он успел стать таким же популярным, как и ransomware. Более того, в 2015 году более 1800 человек приобрели Adwind на его "официальном" сайте, что сделало сайт одной из самых популярных платформ распространения вредоносного ПО в мире. Следует отметить, что Adwind представляет опасность для пользователей всех основных операционных систем, включая Windows, Mac OS X, Linux и BSD.

Общее описание Adwind

Впервые обнаруженная в 2012 году, вредоносная программа была известна под названием Frutas и предположительно происходила из Мексики. В течение первого года существования Adwind его создатель выпустил несколько версий, которые бесплатно распространялись на испанских хакерских форумах.

Набор функций первоначальной версии был несколько ограничен по сравнению с последней итерацией вируса. Так, в 2012 году Adwind RAT мог делать скриншоты, красть пароли от выбранных онлайн-сервисов, открывать определенные веб-страницы и делать скриншоты, а также показывать всплывающие сообщения.

В 2013 году создатель вредоносной программы выпустил новую версию, изменив ее название на Adwind. Новая версия добавила поддержку ОС Android и начала набирать обороты за пределами испанского хакерского сообщества, став популярным инструментом во всем мире. Вслед за популярностью вредоносной программы автор создал канал на YouTube, где размещал обучающие материалы для других киберпреступников. В том же году в Тихоокеанской Азии был зафиксирован первый в истории случай использования вредоносной программы Adwind в целевой атаке. В ноябре 2013 года вредоносная программа была ребрендирована под названием UNRECOM и продана компании Unrecom Soft. Ребрендированная версия Adwind сохранила все функции предыдущей итерации.

В 2014 году произошла утечка исходного кода Adwind. В результате он стал доступен в Интернете бесплатно, став популярным инструментом среди киберпреступников, которые широко использовали взломанные версии в атаках в течение 2014 и 2015 годов, что еще больше способствовало общей популярности Adwind. В ответ на утечку "официальная" версия троянца Adwind была значительно модернизирована и перевыпущена под названием AlienSpy в октябре 2014 года. Adwind RAT v3.0 научился автоматически определять песочницы, получил криптографически защищенную связь с управляющим сервером, а также стал способен обнаруживать и отключать антивирусы.

Наконец, в 2015 году вредоносная программа была в очередной раз переименована, став JSocket RAT. Как вредоносная программа-как-услуга, Adwind RAT продается пользователям за фиксированную плату, взимаемую ежемесячно в качестве подписки, и ее можно было приобрести на сайте JSocket.org, пока сайт не стал недоступен. Цена зависит от пакета, который выбирает пользователь.

По результатам анализа, Adwind требует активных действий от потенциальной жертвы для запуска процесса исполнения. Будучи доставленной в виде вредоносного файла .JAR, вредоносная программа не сможет запуститься до тех пор, пока жертва дважды не щелкнет по вложению.

Процесс выполнения Adwind

После того как пользователь открывал вредоносный .jar-файл, вредоносная программа начинала выполнение через виртуальную машину Java. Этот начальный процесс выполнял js-скрипт, который запускал еще один js-скрипт и еще один .jar-файл.

JS-скрипт также использовал планировщик задач для последующего запуска самого себя. Jar-файл запускал ряд вредоносных действий, таких как использование attrib.exe для пометки файлов или папок как скрытых, запуск файлов сценариев VBS, изменение значения автозапуска в реестре и многое другое. Отмечено, что иногда Jar-файл запускает серию команд taskkill для отключения процессов по их именам, основанным на списке, содержащем имена системных процессов, имена распространенных Антивирусных программ, а также анализирующих программ wireshark.exe, procexp.exe, processhacker.exe и так далее. Следует отметить, что данная вредоносная программа не работает без установленной Java.

Как избежать заражения трояном Adwind?

Проявление осторожности при работе с письмами от неизвестных отправителей - надежный способ предотвратить заражение, поскольку троян Adwind требует от жертвы взаимодействия с вредоносным файлом, чтобы перейти в активную фазу. Поэтому никогда не загружайте вложения в подозрительных письмах - это надежный способ обезопасить себя при работе с любыми вредоносными объектами, такими как ransomware, RAT и другими. Кроме того, хорошей мерой безопасности можно считать предотвращение запуска файлов .JAR в %AppData%[произвольное имя папки], а также запрет на создание .JAR в той же папке.

Распространение Adwind

Adwind RAT распространяется в почтовых спам-кампаниях так же, как AZORult или Remcos, и имеет два общих вектора атаки. Он может быть доставлен на машину жертвы в виде вложения в электронное письмо в форме вредоносного файла, такого как PDF или файл Microsoft Office.

Другой вектор атаки - вредоносный URL-адрес, перенаправляющий жертву на веб-сайт, с которого загружается Adwind.

Заключение

Adwind RAT v3.0, распространяемый как вредоносное ПО как услуга, стал одним из самых популярных RAT и нацелен на пользователей всех основных операционных систем по всему миру.

Известно, что не только "официальная" платная версия вредоносной программы создала массовую аудиторию, но и несколько слегка устаревших, но все еще очень мощных взломанных, свободно распространяемых версий легко доступны в Интернете на подпольных хакерских форумах вместе с программами-выкупами. В результате сегодня Adwind остается серьезной, активной и, возможно, даже растущей угрозой.

Поделиться с друзьями
SEC-1275-1