{"id":7428,"date":"2016-02-08T14:22:01","date_gmt":"2016-02-08T14:22:01","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7428"},"modified":"2019-11-22T11:25:18","modified_gmt":"2019-11-22T09:25:18","slug":"adwind-rat","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/adwind-rat\/7428\/","title":{"rendered":"Il malware Adwind colpisce oltre 400.000 utenti nel mondo"},"content":{"rendered":"<p>Al Security Analyst Summit 2016, il nostro <em>Global Research and Analysis Team<\/em> (il team di Ricerca Globale e Analisi, GReAT) ha pubblicato un\u2019ampia ricerca su Adwind, un trojan ad accesso remoto (RAT), conosciuto anche come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat. Viene sviluppato da diversi anni e distribuito tramite una singola piattaforma malware as-a-service: chiunque, al costo di pochi dollari (da 25 a 300), pu\u00f2 usarlo a proprio vantaggio.<\/p>\n<p>I nostri ricercatori di GReAT hanno scoperto questa piattaforma durante il tentato attacco ai danni di una banca di Singapore. Il malware \u00e8 arrivato sotto forma di file Java doloso, allegato a un\u2019email di spear-phishing ricevuta da un impiegato. In sostanza, un tipico esempio di come pu\u00f2 essere somministrato.<\/p>\n<p>Diverse caratteristiche di questo malware hanno suscitato l\u2019attenzione dei ricercatori. Prima di tutto, la capacit\u00e0 di agire su piattaforme multiple: oltre a Windows, era in grado d\u2019infettare i sistemi operativi Linux, OS X e Android. Sebbene Java non sia affatto una piattaforma usuale per il malware, \u00e8 ancora considerato la seconda, maggiore vulnerabilit\u00e0 di sicurezza e richiede costante riparazione, mentre la prima \u00e8 sicuramente il plugin Adobe Flash. Inoltre, le applicazioni di Java sono progettate per essere in grado di operare su qualsiasi sistema operativo. Questo rende Java un ambiente molto favorevole per chi vuole sviluppare malware multipiattaforma, per questo Oracle si sta <a href=\"https:\/\/en.wikipedia.org\/wiki\/Java_security\" target=\"_blank\" rel=\"noopener nofollow\">davvero impegnando per migliorarne la sicurezza<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Oracle to Kill Java Browser Plugin: <a href=\"https:\/\/t.co\/aF0qj9WWWV\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/aF0qj9WWWV<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/RIPJAVA?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#RIPJAVA<\/a> <a href=\"https:\/\/t.co\/5kbts0mNcD\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/5kbts0mNcD<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/692786385003089920?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 28, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In secondo luogo, la scoperta del malware ha evidenziato come non sia stato individuato da nessun programma anti-virus.<\/p>\n<p>Infine, la lista delle sue funzioni includeva l\u2019abilit\u00e0 di raccogliere le sequenze di tasti digitati; rubare password nascoste, certificati VPN e codici dei wallet di valuta crittografata; scattare screenshot; registrare video, foto e suoni dal microfono e dalla webcam del computer; raccogliere informazioni sull\u2019utente e sul sistema; gestire SMS nel caso di Android OS, e cos\u00ec via. Come vedete, l\u2019unico limite dei criminali erano le loro capacit\u00e0 e immaginazione.<\/p>\n<p><a href=\"http:\/\/twitter.com\/e_kaspersky\/status\/696714190359130112\/photo\/1\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/twitter.com\/e_kaspersky\/status\/696714190359130112\/photo\/1<\/a><\/p>\n<p>Nel complesso, \u00e8 un tool di spionaggio multipiattaforma molto potente. Dopo lo studio dell\u2019attivit\u00e0 del malware, i nostri ricercatori sono giunti alla conclusione che la vera storia di Adwind \u00e8 molto pi\u00f9 elettrizzante di quello che potrebbe sembrare al principio.<\/p>\n<p>Risulta che questo malware sia in fase di sviluppo da molti anni, i primi esemplari risalgono al 2012. In periodi diversi ha assunto nomi diversi: i suoi creatori l\u2019hanno chiamato Frutas nel 2012, Adwind nel 2013, Unrecom e AlienSpy nel 2014 e JSocket nel 2015.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">AlienSpy RAT Resurfaces as JSocket via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/5ZWmhpGiKm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/5ZWmhpGiKm<\/a> <a href=\"http:\/\/t.co\/koTpglGJjP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/koTpglGJjP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/635921635619524608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 24, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gli esperti di GReAT credono che ci sia una sola persona dietro la piattaforma Adwind, che sviluppa e supporta nuove funzioni e moduli da almeno quattro anni. Nonostante tutte le critiche alla sicurezza di Java, la piattaforma non \u00e8 stata creata per semplificare la vita ai cybercriminali, e l\u2019autore del malware Adwind doveva imbattersi in vari stratagemmi per far funzionare l\u2019intero schema. Ovviamente, questa persona potrebbe anche delegare agli outsourcer, ma tutti gli sforzi sembrano essere ripagati da buoni guadagni: per quel che abbiamo calcolato, l\u2019intero servizio potrebbe fruttare 200.000 dollari all\u2019anno. Tuttavia dovete considerare che l\u2019ultima versione del portale \u00e8 stata lanciata solo nell\u2019estate del 2015, quindi il criminale potrebbe essere ancora in attesa del denaro.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233240\/adwind-live-photo.jpg\" alt=\"\" width=\"1280\" height=\"840\"><\/p>\n<p>All\u2019inizio la piattaforma aveva solo un\u2019interfaccia in spagnolo, a cui si \u00e8 aggiunta in seguito quella inglese. Con quell\u2019aggiornamento, Adwind divenne riconoscibile a criminali di ogni tipo, compresi truffatori che attuano frodi avanzate, concorrenti sleali, cyber-mercenari assoldati per spiare persone e organizzazioni. Pu\u00f2 anche essere usato da chiunque voglia spiare persone che conosce.<\/p>\n<p>La nazionalit\u00e0 delle vittime \u00e8 cambiata nel corso di questi anni. Nel 2013 erano sotto tiro i paesi di lingua araba e spagnola. L\u2019anno seguente i criminali puntarono a Turchia e India, seguite da Emirati Arabi, Stati Uniti e Vietnam. Nel 2015 la Russia era in testa, accanto a Emirati Arabi, Turchia, Stati Uniti e Germania. \u00c8 comprensibile, poich\u00e9 adesso Adwind \u00e8 stato venduto a diversi cybercriminali che vivono in tutto il mondo.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233240\/map_03_02_16.png\" alt=\"\" width=\"2000\" height=\"1633\"><\/p>\n<p>Per quel che ne sappiamo, nel corso di quattro anni le vittime sono state pi\u00f9 di 443 mila. \u00c8 degna di nota una massiccia impennata di infezioni osservata alla fine del 2015. Da agosto 2015 a gennaio 2016, oltre 68.000 utenti si sono imbattuti in Adwind. Inoltre, nell\u2019agosto 2015 tale malware \u00e8 saltato fuori in una storia di spionaggio informatico. Risult\u00f2 che una delle soluzioni Adwind, chiamata AlienSpy, era stata usata per spiare un pubblico ministero argentino, <a href=\"http:\/\/motherboard.vice.com\/read\/malware-hunter-finds-spyware-used-against-dead-argentine-prosecutor\" target=\"_blank\" rel=\"noopener nofollow\">trovato morto<\/a> nel suo appartamento<a href=\"http:\/\/www.nytimes.com\/interactive\/2015\/02\/07\/world\/americas\/argentina-alberto-nisman-case.html\" target=\"_blank\" rel=\"noopener nofollow\"> in circostanze misteriose<\/a> a gennaio del 2015.<\/p>\n<p><a href=\"http:\/\/twitter.com\/Securelist\/status\/696715862443737089\/photo\/1\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/twitter.com\/Securelist\/status\/696715862443737089\/photo\/1<\/a><\/p>\n<p>I criminali che compravano e usavano il kit Adwind puntavano ai privati e alle piccole e medie imprese di diversi settori: manifattura, finanza, ingegneria, design, commercio al dettaglio, amministrazione, trasporti, telecomunicazioni e molti altri.<\/p>\n<p>Ecco perch\u00e9 non possiamo che incoraggiare le aziende a rivedere l\u2019uso della piattaforma Java e a disabilitarla per tutte le fonti non autorizzate.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SAS 2016: i nostri esperti di GReAT parlano di un malware usato a scopi diversi da centinaia di cybercriminali<\/p>\n","protected":false},"author":421,"featured_media":7429,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12,2642],"tags":[1819,1820,70,1821,682,291,1825,1824,961,1829,638,24,1826,95,1814,1823,1828,1827,1822,23],"class_list":{"0":"post-7428","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-adwind","11":"tag-alienspy","12":"tag-android","13":"tag-frutas","14":"tag-great","15":"tag-java","16":"tag-jrat","17":"tag-jsocket","18":"tag-linux","19":"tag-malware-as-a-service","20":"tag-minacce","21":"tag-os-x","22":"tag-rat","23":"tag-ricerca","24":"tag-sas-2016","25":"tag-sockrat","26":"tag-thesas2016","27":"tag-tool-accesso-remoto","28":"tag-unrecom","29":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adwind-rat\/7428\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adwind-rat\/6655\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adwind-rat\/6731\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adwind-rat\/6647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adwind-rat\/7695\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adwind-rat\/10804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adwind-rat\/11252\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adwind-rat\/5205\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adwind-rat\/5967\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adwind-rat\/6958\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adwind-rat\/10356\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adwind-rat\/10804\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adwind-rat\/11252\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adwind-rat\/11252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/adwind\/","name":"Adwind"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7428"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7428\/revisions"}],"predecessor-version":[{"id":18937,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7428\/revisions\/18937"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7429"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}