Unbekannter Angreifer gezielte Infrastruktur der US-Stromindustrie. Mit Hilfe von schädlichen E-Mail, Mitarbeiter der Energieunternehmen wurden die Adwind RAT Trojan geliefert, die spezialisiert auf den Stromsektor in Angriffe.
Ter Malware, auch bekannt als JRAT, gesüßt, AlienSpy, JSocket, Früchte und Unrecom, wird verwendet, um Informationen zu stehlen. Es kann Screenshots, sammeln Anmeldeinformationen von Chrome, Internet Explorer und Microsoft Edge, Aufzeichnung von Audio- und Video, Fotos machen, Lesen Tasten auf der Tastatur, und stehlen Dateien, E-Mail und VPN-Zertifikate.Adwind die unter dem „Malware als Dienstleistung“-Modell. Jeder kann einen Trojaner auf dem Schwarzmarkt kaufen.
„Die Tatsache, dass Adwind kann als regulären Dienst zugegriffen werden disturnbing. Jeder kann die Unternehmen zahlen und angreifen, die kritischen Infrastruktureinrichtungen laufen“, – sagte Bob Noel, Plixer Vice President für strategische Beziehungen.
gemäß zu Milo Salvia, ein Forscher an Cofense, Anhaltende Angriffe beginnen mit böswilligem Mailing. Der Buchstabe, die angezogenen Experten der Aufmerksamkeit, wurde aus einem gehackten Konto gesendeter Friary Schuhe. Er stellte fest, dass der Empfänger müssen unterschreiben und eine Kopie eines Zahlungsbelegs zurückgeben.
Der Brief wurde von einem Bild mit einer eingebauten in Verbindung begleitet, unter einer PDF-Datei maskiert.
Wenn der Benutzer versucht, die Anlage zu öffnen, er wurde automatisch auf die gehackten Website von Fletcher Specs umgeleitet, von dem die Malware an Opfer des Computers heruntergeladen.
lesen Sie auch: Trojan Varenyky Spione auf Porno-Seiten Benutzer
Die ursprüngliche Nutzlast wurde eine JAR-Datei mit dem Namen Scan050819.pdf_obf.jar. Somit, Angreifer versucht, die wahre Erweiterung zu verstecken und sie ab als PDF-Dokument übergeben. Diese JAR-Datei im Hintergrund erstellt zwei Java.exe Prozesse, die zwei separate .class-Dateien enthalten Adwind geladen. Nachdem, die Malware übermittelt ein Signal an die Befehls- und Steuerserver.
„Erzwingen Benutzer bösartige Links oder Anhänge zu öffnen, ist nach wie vor der erfolgreichste Weg für Cyber-Kriminelle Zugriff auf das Zielsystem zu gewinnen. Malwares wie Adwind wird in der Lage sein, Antivirenprogramme zu deaktivieren, wenn sie auf das Gerät erhalten“, – sagte Bob Noel.
Um zu vermeiden, Erkennung, der Trojaner auf dem Computer gefunden, die am häufigsten Anti-Viren-Programmen und Malware-Analyse-Tools und sie mit dem TaskKill.exe Prozess deaktiviert.
