Бэкдор Adwind пока еще деятелен
Бэкдор Adwind, распространяющийся в формате «вредное ПО как услуга», сумел нападать суммарно не менее 440 миллионов клиентов и организаций во всем мире, в том числе в РФ. Специалисты «Корпорации Касперского» определили, что опасность до сегодняшнего дня деятельна и применяется в основном с целью кибершпионажа. При этом создавать данные о пользователях при помощи Adwind может любой желающий — что бы получить в собственное постановление готовый аппарат для слежки, довольно легко оплатить за использование зловредом.
Adwind идет открыто в масштабах единственной программы. «Заказчик» в этом случае платит за зловред как за сервис, которым он может пользоваться. По сведениям «Корпорации Касперского», в середине 2015 года в данной «сервисной» системе было около 1800 клиентов, что делает Adwind одной из больших популярных вредных платформ. Исследовав профили оформленных участников, специалисты сделали вывод, что в применении зловреда заинтересованы жулики, которые планируют увеличить уровень собственного «мастерства», несправедливые соперники, кибернаемники и личные клиенты, желающие следить за собственными знакомыми.
В первый раз Adwind был замечен в 2013 году. С того времени ученые киберугроз не раз видели его под различными именами: AlienSpy,Frutas, Unrecom, Sockrat, JSocket и jRat. Заключительный раз зловред привлек к себе внимание специалистов «Корпорации Касперского» в середине 2015 года при попытке нападать один из банков Сингапура — вредный документ был закреплен к фишинговому посланию, адресованному одному из служащих банка.
Adwind опубликован полностью на Java, потому способен нападать все популярные программы, например Виндоус, OS X, Linux и Андроид. Вредная платформа дает возможность злодеям создавать и получать из системы данные, и удаленно распоряжаться инфицированным устройством. На данный момент зловред способен делать скриншоты, заучивать нажатия кнопок на клавиатуре, воровать пароли и данные, находящиеся в интернет-браузерах и веб-формах, снимать и производить видеозапись при помощи веб-камеры, делать аудиозаписи с помощью громкоговорителя, интегрированного в устройство, создавать совместные данные о клиенте и о системе, воровать ключи от криптовалютных виртуальных кошельков, и VPN-сертификаты и, в конце концов, распоряжаться СМС.
В основном Adwind идет в общественных спам-рассылках, поэтому его часто применяют невольные люди, не намечавшие трудных и крупных кампаний. Все-таки вредная платформа была не раз замечена и в целевых атаках.
Специалисты определили, что абсолютное большинство возможных потерпевших зловреда работают в подобных сферах как изготовление, деньги, сооружение и конструирование, розничная торговля, логистика, телекоммуникации, разработка ПО, формирование, здравоохранение, изготовление еды, энергетика, СМИ и правительство. При этом 49% потерпевших Adwind располагается всего в 10 государствах: в РФ, ОАЭ, Германии, Индии, США, Италии, Вьетнаме, Гонконге, Турции и Тайване.
«Платформа Adwind в собственном нынешнем пребывании существенно понижает максимальный уровень квалифицированных познаний, требуемых от возможного киберпреступника. В том же случае с сингапурским банком, который мы кропотливо исследовали, злодей, сколотивший атаку, был далеко не квалифицированным взломщиком. И мы считаем, что абсолютное большинство «заказчиков» Adwind имеют приблизительно такой же низкий уровень компьютерных познаний и способностей. Но это весьма беспокойная линия: выходит, что в случае наличия вредного ПО в свободном доступе киберпреступной работой может заниматься почти любой желающий», — заметил Александр Гостев, основной противовирусный специалист «Корпорации Касперского».