Il malware Adwind colpisce oltre 400.000 utenti nel mondo

SAS 2016: i nostri esperti di GReAT parlano di un malware usato a scopi diversi da centinaia di cybercriminali

Al Security Analyst Summit 2016, il nostro Global Research and Analysis Team (il team di Ricerca Globale e Analisi, GReAT) ha pubblicato un’ampia ricerca su Adwind, un trojan ad accesso remoto (RAT), conosciuto anche come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat. Viene sviluppato da diversi anni e distribuito tramite una singola piattaforma malware as-a-service: chiunque, al costo di pochi dollari (da 25 a 300), può usarlo a proprio vantaggio.

I nostri ricercatori di GReAT hanno scoperto questa piattaforma durante il tentato attacco ai danni di una banca di Singapore. Il malware è arrivato sotto forma di file Java doloso, allegato a un’email di spear-phishing ricevuta da un impiegato. In sostanza, un tipico esempio di come può essere somministrato.

Diverse caratteristiche di questo malware hanno suscitato l’attenzione dei ricercatori. Prima di tutto, la capacità di agire su piattaforme multiple: oltre a Windows, era in grado d’infettare i sistemi operativi Linux, OS X e Android. Sebbene Java non sia affatto una piattaforma usuale per il malware, è ancora considerato la seconda, maggiore vulnerabilità di sicurezza e richiede costante riparazione, mentre la prima è sicuramente il plugin Adobe Flash. Inoltre, le applicazioni di Java sono progettate per essere in grado di operare su qualsiasi sistema operativo. Questo rende Java un ambiente molto favorevole per chi vuole sviluppare malware multipiattaforma, per questo Oracle si sta davvero impegnando per migliorarne la sicurezza.

In secondo luogo, la scoperta del malware ha evidenziato come non sia stato individuato da nessun programma anti-virus.

Infine, la lista delle sue funzioni includeva l’abilità di raccogliere le sequenze di tasti digitati; rubare password nascoste, certificati VPN e codici dei wallet di valuta crittografata; scattare screenshot; registrare video, foto e suoni dal microfono e dalla webcam del computer; raccogliere informazioni sull’utente e sul sistema; gestire SMS nel caso di Android OS, e così via. Come vedete, l’unico limite dei criminali erano le loro capacità e immaginazione.

http://twitter.com/e_kaspersky/status/696714190359130112/photo/1

Nel complesso, è un tool di spionaggio multipiattaforma molto potente. Dopo lo studio dell’attività del malware, i nostri ricercatori sono giunti alla conclusione che la vera storia di Adwind è molto più elettrizzante di quello che potrebbe sembrare al principio.

Risulta che questo malware sia in fase di sviluppo da molti anni, i primi esemplari risalgono al 2012. In periodi diversi ha assunto nomi diversi: i suoi creatori l’hanno chiamato Frutas nel 2012, Adwind nel 2013, Unrecom e AlienSpy nel 2014 e JSocket nel 2015.

Gli esperti di GReAT credono che ci sia una sola persona dietro la piattaforma Adwind, che sviluppa e supporta nuove funzioni e moduli da almeno quattro anni. Nonostante tutte le critiche alla sicurezza di Java, la piattaforma non è stata creata per semplificare la vita ai cybercriminali, e l’autore del malware Adwind doveva imbattersi in vari stratagemmi per far funzionare l’intero schema. Ovviamente, questa persona potrebbe anche delegare agli outsourcer, ma tutti gli sforzi sembrano essere ripagati da buoni guadagni: per quel che abbiamo calcolato, l’intero servizio potrebbe fruttare 200.000 dollari all’anno. Tuttavia dovete considerare che l’ultima versione del portale è stata lanciata solo nell’estate del 2015, quindi il criminale potrebbe essere ancora in attesa del denaro.

All’inizio la piattaforma aveva solo un’interfaccia in spagnolo, a cui si è aggiunta in seguito quella inglese. Con quell’aggiornamento, Adwind divenne riconoscibile a criminali di ogni tipo, compresi truffatori che attuano frodi avanzate, concorrenti sleali, cyber-mercenari assoldati per spiare persone e organizzazioni. Può anche essere usato da chiunque voglia spiare persone che conosce.

La nazionalità delle vittime è cambiata nel corso di questi anni. Nel 2013 erano sotto tiro i paesi di lingua araba e spagnola. L’anno seguente i criminali puntarono a Turchia e India, seguite da Emirati Arabi, Stati Uniti e Vietnam. Nel 2015 la Russia era in testa, accanto a Emirati Arabi, Turchia, Stati Uniti e Germania. È comprensibile, poiché adesso Adwind è stato venduto a diversi cybercriminali che vivono in tutto il mondo.

Per quel che ne sappiamo, nel corso di quattro anni le vittime sono state più di 443 mila. È degna di nota una massiccia impennata di infezioni osservata alla fine del 2015. Da agosto 2015 a gennaio 2016, oltre 68.000 utenti si sono imbattuti in Adwind. Inoltre, nell’agosto 2015 tale malware è saltato fuori in una storia di spionaggio informatico. Risultò che una delle soluzioni Adwind, chiamata AlienSpy, era stata usata per spiare un pubblico ministero argentino, trovato morto nel suo appartamento in circostanze misteriose a gennaio del 2015.

http://twitter.com/Securelist/status/696715862443737089/photo/1

I criminali che compravano e usavano il kit Adwind puntavano ai privati e alle piccole e medie imprese di diversi settori: manifattura, finanza, ingegneria, design, commercio al dettaglio, amministrazione, trasporti, telecomunicazioni e molti altri.

Ecco perché non possiamo che incoraggiare le aziende a rivedere l’uso della piattaforma Java e a disabilitarla per tutte le fonti non autorizzate.

Consigli