atacantes desconocidos dirigidos infraestructura de la industria de la electricidad de los EE.UU.. Con la ayuda de correos electrónicos maliciosos, los empleados de las empresas de energía fueron entregados al Adwind RAT Troya, que se especializa en ataques contra el sector eléctrico.
Tque el malware, también conocido como JRat, endulzado, AlienSpy, JSocket, frutas y Unrecom, se usa para robar información. Se puede tomar capturas de pantalla, recopilar las credenciales de Chrome, Microsoft Internet Explorer y Edge, grabar audio y vídeo, tomar fotografías, leer las pulsaciones de teclas en el teclado, y robar archivos, certificados de correo electrónico y VPN.Adwind distribuido bajo la “el malware como un servicio”modelo. Cualquiera puede comprar un troyano en el mercado negro.
“El hecho de que Adwind se puede acceder como un servicio regular se disturnbing. Cualquiera puede pagar y atacar a las empresas que se ejecutan instalaciones de infraestructura crítica”, – dijo Bob Noel, vicepresidente Plixer de las relaciones estratégicas.
Conforme a Milo Salvia, investigador de Cofense, continuos ataques comienzan con correo malicioso. La carta, que atrajo la atención de los expertos, fue enviado desde una cuenta de pirateado de Zapatos friary. Indicó que el destinatario debe firmar y devolver una copia de un recibo de pago.
La carta iba acompañada de una imagen con un enlace integrado, enmascarado bajo un archivo PDF.
Si el usuario ha intentado abrir el archivo adjunto, fue redirigido al sitio comprometido de Fletcher Especificaciones, de la que el malware se descarga en el equipo de la víctima.
leer también: espías de Troya varenyky en los usuarios los sitios de pornografía
La carga útil original fue nombrado un archivo JAR Scan050819.pdf_obf.jar. Así, atacantes trataron de ocultar la verdadera extensión y hacerlo pasar como un documento PDF. Este archivo JAR en el fondo creado dos procesos JAVA.EXE que cargan dos archivos .class separados que contengan Adwind. Después de esto, el malware transmite una señal al servidor de comando y control.
“Forzar a los usuarios a abrir enlaces o archivos adjuntos maliciosos sigue siendo la forma más exitosa para los cibercriminales para obtener acceso al sistema de destino. Malwares como Adwind serán capaces de desactivar los antivirus cuando llegan al dispositivo”, – dijo Bob Noel.
Para evitar la detección, el troyano se encontró en el ordenador los programas anti-virus y análisis de malware herramientas más comunes y los desactivarse mediante el proceso Taskkill.exe.
