Ukjente angripere målrettet infrastruktur av den amerikanske kraftbransjen. Med hjelp av ondsinnede e-postmeldinger, ansatte i energi virksomheter ble levert Adwind RAT Trojan, som har spesialisert seg på angrep på elektrisitet sektor.
Than malware, også kjent som JRAT, søtet, AlienSpy, JSocket, frukt Og Unrecom, brukes til å stjele informasjon. Det kan ta skjermbilder, samle legitimasjon fra Chrome, Internet Explorer og Microsoft Edge, ta opp lyd og video, ta bilder, Les tastetrykk på tastaturet, og stjele filer, e-post og VPN-sertifikater.Adwind distribuert under “malware som en tjeneste”-modellen. Hvem som helst kan kjøpe en trojan på det svarte markedet.
“Det faktum at Adwind kan nås som en vanlig tjeneste disturnbing. Alle kan betale og angripe bedrifter som kjører kritisk infrastruktur”, – sa Bob Noel, Plixer visepresident for strategiske relasjoner.
I henhold til Milo Salvia, forsker ved Cofense, pågående angrepene begynne med ondsinnet mailing. Brevet, som tiltrakk eksperter oppmerksomhet, ble sendt fra en hacket konto av Friary Shoes. Det fremgår at mottakeren må signere og returnere en kopi av en kvittering.
Brevet ble ledsaget av et bilde med en innebygd kobling, maskert under en PDF-fil.
Dersom brukeren forsøkte å åpne feste, Han ble automatisk omdirigert til hacket stedet av Fletcher Specs, hvorfra malware ble lastet ned til offerets datamaskin.
Les også: Trojan varenyky spioner på pornosider brukere
Den opprinnelige nyttelasten ble en JAR-fil med navnet Scan050819.pdf_obf.jar. Og dermed, Angriperne prøvde å skjule den egentlige forlengelsen og gi det ut som et PDF-dokument. Dette JAR-filen i bakgrunnen opprettet to java.exe prosesser som er lastet inn to separate Class filer som inneholder Adwind. Etter det, den skadelige overføres et signal til den kommando og kontrollserveren.
“Tvinge brukere til å åpne ondsinnede lenker eller vedlegg er fortsatt den mest effektive måten for nettkriminelle å få tilgang til målet systemet. Malwares som Adwind vil være i stand til å deaktivere antiviruses når de kommer til enheten”, – sa Bob Noel.
For å unngå å bli oppdaget, den trojanske funnet på datamaskinen de mest vanlige antivirusprogrammer og malware analyseverktøy og deaktivert dem ved hjelp av taskkill.exe prosessen.
