intruso internetAdwind, plataforma de malware como servicio que ha afectado a más de 400,000 usuarios y organizaciones a nivel mundial El equipo de Análisis e Investigación Global de Kaspersky Lab ha publicado una amplia investigación sobre Adwind RAT (Remote Access Tool ó Herramienta de Acceso Remoto), un programa de malware multiplataforma y multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, y que se distribuye a través de una sola plataforma de malware como servicio.

De acuerdo con los resultados de la investigación, realizado entre 2013 y 2016, diferentes versiones del malware Adwind se han utilizado en los ataques contra al menos 443,000 usuarios privados, organizaciones comerciales y no comerciales en todo el mundo. La plataforma y el malware siguen activos.

A finales de 2015, los investigadores de Kaspersky Lab se dieron cuenta de un programa de malware inusual que había sido descubierto durante un intento de ataque dirigido contra un banco en Singapur. Un archivo JAR malicioso estaba anexo a un correo electrónico de spear-phishing que recibió el empleado seleccionado del banco. Las ricas capacidades del software malicioso, incluyendo su capacidad para ejecutarse en múltiples plataformas, así como el hecho de que no lo detecta ninguna solución antivirus, de inmediato llamó la atención de los investigadores.

Resultó que la organización había sido atacada con el Adwind RAT, una puerta trasera disponible para su compra y escrita completamente en Java, lo cual la hace funcional en diferentes plataformas. Se puede ejecutar en Windows, OS X, Linux y plataformas Android y ofrece la capacidad de control remoto desde un equipo de escritorio, recopilación de datos, exfiltración de datos, etc.

Si el usuario objetivo abre el archivo JAR adjunto, el malware se instala automáticamente e intenta comunicarse con el servidor de comando y control. La lista de funciones del malware incluye la capacidad de:

  • Recopilar las pulsaciones del teclado
  • Robar contraseñas almacenadas en caché y recuperar datos de formularios web
  • Tomar capturas de pantalla
  • Tomar fotografías y grabar vídeo por medio de la cámara web
  • Grabar sonido por medio del micrófono
  • Transferir archivos
  • Recopilar información general del usuario y del sistema
  • Robar claves para carteras de criptomoneda
  • Gestionar mensajes SMS (para Android)
  • Robar certificados VPN

A pesar de que se utiliza principalmente por atacantes oportunistas y se distribuye en campañas masivas de spam, hay casos en los que se utilizó Adwind en ataques selectivos. En agosto de 2015, Adwind apareció en las noticias relacionadas con el ciberespionaje contra un fiscal argentino que se encontró muerto en enero de 2015. El incidente contra el banco de Singapur fue otro ejemplo de un ataque selectivo. Una mirada más profunda de los eventos relacionados con el uso de Adwind RAT mostró que estos ataques selectivos no fueron los únicos. 

Objetivos de interés

Durante su trabajo, los investigadores de Kaspersky Lab fueron capaces de analizar cerca de 200 ejemplos de ataques de spear-phishing organizados por delincuentes desconocidos para propagar el malware Adwind, y fueron capaces de identificar las industrias que fueron principalmente atacadas:

  • Fabricación
  • Finanzas
  • Ingeniería
  • Diseño
  • Negocios minoristas
  • Gobierno
  • Mensajería
  • Telecomunicaciones
  • Software
  • Educación
  • Producción de alimentos
  • Salud
  • Medios de comunicación
  • Energía

Con base en la información de Kaspersky Security Network, en los 200 ejemplos de ataques de spear-phishing observados en los seis meses entre agosto de 2015 y de enero de 2016 se encontraron muestras del malware Adwind RAT en más de 68,000 usuarios. La distribución geográfica de los usuarios atacados registrados por KSN durante este período muestra que casi la mitad de ellos (49%) vivían en los siguientes 10 países: Emiratos Árabes Unidos, Alemania, India, Estados Unidos, Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwán.

Con base en los perfiles de los objetivos identificados, los investigadores de Kaspersky Lab creen que los clientes de la plataforma Adwind se encuentran en las siguientes categorías: estafadores que quieren pasar al siguiente nivel (usando software malicioso para realizar fraudes más avanzados), competencia desleal, ciber-mercenarios (espías de alquiler), y particulares que quieren espiar a gente que conocen.

Amenaza como servicio

Una de las principales características que distingue a Adwind RAT de otro malware comercial es que se distribuye abiertamente como un servicio de pago, donde el "cliente" paga una cuota a cambio del uso del programa malicioso. Basado en una investigación de la actividad de los usuarios en el foro de discusión interna y algunas otras observaciones, los investigadores de Kaspersky Lab estiman que hubo alrededor de 1,800 usuarios en el sistema a finales de 2015. Esto hace que sea una de las plataformas más grandes de malware que existen en la actualidad.

"La plataforma Adwind en su estado actual reduce significativamente la cantidad mínima de conocimientos profesionales que requiere un delincuente potencial que intenta entrar en el ámbito de la delincuencia informática. Lo que podemos decir en base a nuestra investigación del ataque contra el banco de Singapur es que el delincuente estaba lejos de ser un hacker profesional, y creemos que la mayoría de los "clientes" de la plataforma Adwind tienen ese nivel de conocimientos de informática. Esa es una tendencia preocupante", – dijo Aleksandr Gostev, Experto en Seguridad de Kaspersky Lab.

"A pesar de los múltiples informes sobre las diferentes generaciones de esta herramienta, publicados por los proveedores de seguridad en los últimos años, la plataforma todavía está activa y habitada por delincuentes de todo tipo. Hemos llevado a cabo esta investigación con el fin de atraer la atención de la comunidad de seguridad y agencias policiales para tomar las medidas necesarias para desmantelarlos por completo," dijo Vitaly Kamluk, Director del equipo GReAT (Análisis e Investigación Global) en APAC, Kaspersky Lab.

Kaspersky Lab ha informado de sus hallazgos sobre la plataforma Adwind a las agencias policiales.

Con el fin de protegerse a usted mismo y a su organización contra esta amenaza, Kaspersky Lab aconseja a las empresas a revisar el propósito de utilizar la plataforma Java y desactivarla para todas las fuentes no autorizadas.

Lea más sobre la plataforma del malware como servicio Adwind: https://securelist.com/blog/research/73660/adwind-faq/

Descubra cómo se investigan los ataques selectivos sofisticados: http://www.youtube.com/watch?v=FzPYGRO9LsA

Más información acerca de las operaciones de espionaje cibernético aquí: https://apt.securelist.com/