Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
Создатели Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat) предлагают его своим клиентам по схеме «вредоносное ПО как услуга» (malware-as-a-service, MaaS). Вредонос отличается впечатляющим функционалом – он способен похищать конфиденциальные данные (цифровые сертификаты и учетные данные пользователей Chrome, IE и Edge), регистрировать нажатия клавиш на клавиатуре, записывать аудио и видео, делать фотоснимки с помощью web-камеры скомпрометированного устройства, майнить криптовалюту и похищать криптовалютные кошельки.
В данной конкретной кампании злоумышленники рассылают фишинговые письма исключительно сотрудникам предприятий электроэнергетической промышленности, успешно обходя спам-фильтры. Письма рассылаются со взломанной электронной почты компании Friary Shoes, при этом ее серверы используются для хранения и доставки Adwind на компьютеры жертв.
Фишинговые письма содержат вложение, внешне похожее на PDF-документ, но на самом деле являющееся jpg-файлом со встроенной гиперссылкой. Когда жертва нажимает на вложение, то переходит по вредоносной URL-ссылке, откуда на ее систему загружается первоначальная полезная нагрузка (JAR-файл Scan050819.pdf_obf.jar).
Загрузившись на компьютер, Adwind подключается к C&C-серверу и добавляет все зависимости и собранные данные в папку C:\Users\Byte\AppData\Local\Temp\. На втором этапе заражения вредонос находит и отключает известное аналитическое и антивирусное ПО с помощью легитимной утилиты taskkill от Microsoft.
Positive Technologies проводит опрос по APT атакам. Предлагаем вам анонимно ответить на несколько вопросов: https://surveys.hotjar.com/s?siteId=1095096&surveyId=139755 .
*Источник - https://www.securitylab.ru/news/500514.php