RAT 트로이 목마 Adwind는 미국 에너지 분야를 공격

알 수없는 공격자는 미국 전력 산업의 인프라를 대상으로. 악의적 인 이메일의 도움으로, 에너지 기업의 직원은 Adwind RAT 트로이 목마 전달했다, 전력 부문에 대한 공격을 전문으로하는.

그는 맬웨어, 또한 ~으로 알려진 JRAT, 가당, AlienSpy, JSocket, 과일Unrecom, 정보를 도용하는 데 사용됩니다. 이 스크린 샷을 취할 수, 크롬에서 자격 증명을 수집, 인터넷 익스플로러와 마이크로 소프트 에지, 오디오 녹음 및 비디오, 사진을 찍다, 키보드의 키 입력을 읽어, 파일을 훔쳐, 이메일 및 VPN 인증.

Adwind에서 배포 "서비스로 악성 코드"모델. 사람은 암시장에 트로이 목마를 살 수있다.

밥 노엘
밥 노엘

"Adwind 정규 서비스로 액세스 할 수 있다는 사실은 disturnbing한다. 누군가는 "지불하고 중요 인프라 시설을 운영하는 기업을 공격 할 수있다, – 말했다 밥 노엘, 전략적 관계의 Plixer 부사장.

따라마일로 샐비어, 연구원에서 Cofense, 지속적인 공격은 악의적 인 메일 링 시작. 그 편지, 이는 전문가들의 주목을 받고, 의 해킹 된 계정에서 보낸 수도원 신발. 그것은받는 사람이 서명하고 지불 영수증 사본을 반환해야한다는 주장.

편지는 내장 된 링크가 포함 된 이미지 동행했다, PDF 파일에서 마스크.

사용자가 첨부 파일을 열려고하면, 그는 자동 플레처 사양의 해킹 사이트로 이동했다, 있는 악성 코드는 피해자의 컴퓨터에 다운로드 한.

또한 읽기: 포르노 사이트 사용자에 트로이 목마 바레 니키 스파이

원래 페이로드는 JAR 파일이 선정되었습니다 Scan050819.pdf_obf.jar. 그러므로, 공격자는 진정한 확장을 숨기고 PDF 문서로를 통과하는 시도. 백그라운드에서이 JAR 파일은 Adwind를 포함하는 두 개의 분리 된 .class 파일을로드 두 가지의 java.exe 프로세스를 생성. 그 후, 악성 프로그램은 명령 및 제어 서버에 신호를 송신.

"악성 링크 나 첨부 파일을 열 사용자를 강제로 사이버 범죄자가 대상 시스템에 액세스하기위한 가장 성공적인 방법은 아직. 그들이 장치에 도착하면 Adwind 같은 악성 코드는 "antiviruses을 해제 할 수 있습니다, – 밥 노엘 말했다.

탐지를 피하기 위해, 트로이 목마는 컴퓨터의 가장 일반적인 안티 바이러스 프로그램과 악성 코드 분석 도구를 발견하고 taskkill.exe 공정을 사용하여 비활성화.

폴리나 리소프스카야

저는 몇 년 동안 마케팅 관리자로 일하고 있으며 흥미로운 주제를 찾는 것을 좋아합니다.

회신을 남겨주

맨 위로 돌아가기 버튼