A Kaspersky Lab detetou um novo e massivo ataque realizado pelo backdoor Adwind Remote Access Tool (RAT). Este backdoor multifuncional já foi utilizado contra mais de 1.500 organizações e Portugal está entre os 100 países vítimas do mesmo. Estes ataques já impactaram vários sectores industriais, incluindo retalho e distribuição (20,1%), arquitetura e construção (9,5%), transportes e logística (5,5%), seguros e serviços legais (5%) e consultoria (5%).
As vítimas do ataque Adwind recebem e-mails em nome do HSBC Advising Service (a partir do domínio mail.hsbcnet.hsbc.com), com um aviso de pagamento em anexo. De acordo com a investigação elaborada pela Kaspersky Lab, a atividade do domínio deste e-mail pode ser rastreada até 2013.
Em vez de instruções, os anexos contêm amostras deste malware. Se o utilizador, vítima do ataque, abrir o ficheiro ZIP em anexo, que contém um ficheiro JAR, o malware instala-se automaticamente e tenta estabelecer uma comunicação com a sua central de comando e controlo. O malware permite que o hacker ganhe um controlo quase total sobre o dispositivo em questão e roube informações confidenciais do computador infetado.
De acordo com os investigadores da Kaspersky Lab, uma vez que entre as vítimas se encontram grandes empresas, os hackers podem utilizar mailing lists específicas da indústria para que os seus ataques sejam direcionados. Considerando o número de deteções, estes estão mais focados em ataques de grandes dimensões e alcance, em vez de tecnologias sofisticadas.
História do malware Adwind RAT
Em 2016, a Kaspersky Lab reportou ataques realizados através do Adwind Remote Access Tool (RAT), um programa de malware multifuncional e que cruza várias plataformas também conhecido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, que é distribuído através de uma única plataforma de malware-as-a-service.
Uma das principais características que distingue o Adwind RAT de outros malwares comerciais é o facto de este ser distribuído livremente no formato de um serviço pago, onde o “consumidor” paga uma taxa para utilizar este programa malicioso.
De acordo com os resultados da investigação, realizada entre 2013 e 2016, têm sido utilizadas diferentes versões do malware Adwind em ataques contra, pelo menos, 443.000 utilizadores particulares, organizações comerciais e não-comerciais em todo o mundo.
Com o objetivo de se protegerem a si próprios e às suas empresas contra esta ameaça, a Kaspersky Lab aconselha as organizações a limitarem a utilização do Java a aplicações isoladas que são impossíveis de executar sem a utilização desta plataforma. De uma forma semelhante à das operações financeiras, as aplicações Java podem ser isoladas com princípios de segurança máximos aplicados às mesmas. As soluções da Kaspersky Lab oferecem uma ampla variedade de características de Controlo de Aplicação para definir um esquema de normas, e monitorizar e controlar a utilização de aplicações específicas em endpoints corporativos.
Para uma visão geral das ameaças financeiras e a sua evolução no decorrer do ano passado, leia o relatório “Ciberameaças Financeiras em 2016”, da Kaspersky Lab.
