Adwind
Na Security Analyst Summit 2016, SAS 2016, nossa equipe Global de Pesquisa (GReAT) publicou pesquisas sobre a ferramenta de acesso remoto Adwind (RAT). Essa ferramenta maliciosa também é conhecida como AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat. Foram desenvolvidas por vários anos e distribuídas por meio de uma única plataforma de malware-como-serviço -qualquer um pode pagar um pequeno preço (de 25 a 300 dólares) pelo serviço.
Nossos pesquisadores descobriram essa plataforma de malware durante um ataque direcionado a um banco em Singapura. O malware entrou na forma de um arquivo Java malicioso, anexado a um e-mail de spear-phishing que foi recebido por um funcionário do banco escolhido como alvo. Basicamente, foi um exemplo típico de como esse malware pode ser distribuído.
Diversas funções chamaram a atenção de nossos pesquisadores. Primeiro, ele era capaz de ser executado em diversas plataformas: além do Windows, também podia infectar Linux, OS X e Android. Por mais que Java não seja uma plataforma comum para malware, ainda é considerado a segunda maior vulnerabilidade que requer constante correção, enquanto a primeira é sem dúvida o plugin do Adobe Flash. Além disso, programas Java são capazes de rodar em qualquer sistema operacional. Isso o torna bem conveniente no que diz respeito ao desenvolvimento a implementação de malware.
A segunda coisa que se destacou sobre a descoberta do malware foi ele não ter sido detectado por programas de antivírus.
#TheSAS2016 : Cibercriminosos roubam milhões de bancos | https://t.co/zxG40SBRga pic.twitter.com/XUnJajHDcN
— Kaspersky Brasil (@Kasperskybrasil) February 11, 2016
Terceiro, ele era bem funcional: a lista de possibilidades incluía a habilidade de coletar informações tecladas; roubar senhas armazenadas, certificados de VPN e senhas de carteiras de criptomoedas; tirar prints; gravar vídeos, fotos e sons com o microfone e webcam do computador: coletar informações do usuário e do sistema; mensagens SMS, no caso do Android, e por aí vai. Como podemos perceber, a única coisa que limita o cibercriminoso são suas habilidades e imaginação.
No fim, é uma multiplataforma de espionagem poderosa. Depois da investigação da atividade do malware, nossos pesquisadores concluíram que a história do kit de ferramentas maliciosas Adwind é bem mais emocionante do que se pensou no início.
No fim das contas, esse malware estava sendo desenvolvido por anos, com sua primeira amostra lá em 2020. Em períodos diferentes de tempo, tinha nomes diferentes: seus criadores o chamaram de Frutas em 2012, Adwind em 2013, Unrecom e AlienSpy em 2014 e JSocket em 2015.
Os especialistas do GReAT acreditam que há apenas um indivíduo – bem trabalhador – por trás da plataforma Adwind, que vem desenvolvendo e fornecendo novas funções e módulos por pelo menos os últimos quatro anos. Apesar de toda a confusão com a segurança do Java, a plataforma não foi criada para tornar a vida do cibercriminosos mais fácil -o criador do Adwind teve de inventar diversos contornos para tornar todo o esquema funcional. Claro, que essa pessoa provavelmente teve de passar algumas tarefas para terceiros, mas os esforços parecem compensar: até onde calculamos, o serviço pode ter rendido 200 mil dólares por ano. Além disso, considerando que a última versão do vírus só saiu no verão de 2015, então, o criminoso pode ainda estar esperando pelo dinheiro.
No começo, a plataforma só possuía uma interface em espanhol, mas mais tarde obteve uma em Inglês. Com essa atualização, o Adwind se tornou reconhecido globalmente por cibercriminosos de todas as estirpes, incluindo criminosos realizando fraudes avançadas, empresas competidoras desonestas, cibermercenários contratados para espionar pessoas ou organizações. Também pode ser usado por qualquer pessoa que queira espionar um conhecido.
A geografia das vítimas também mudou durante os anos. Em 2013, países de língua espanhola e árabe estavam sob a linha de tiro. No ano seguinte, os criminosos miraram na Turquia e Índia, seguido dos EAU, EUA e Vietnã. Em 2015, a Rússia estava no topo, junto com os Emirados Árabes Unidos, Turquia, Estados Unidos e Alemanha. O que é compreensível, já que agora o Adwind é vendido para diferentes cibercriminosos que vivem pelo mundo.
Até onde sabemos, foram mais de 443 mil vítimas durante esses quatro anos. Também é digno de nota termos observado um grande pico de ataques em 2015. Desde agosto de 2015 até janeiro de 2016 mais de 68 000 usuários encontraram amostras do malware Adwind RAT. Além disso, em agosto de 2015 o malware entrou para a história da ciberespionagem. No fim, uma dessas soluções do Adwind nomeada AlienSpy foi usada para espionar um promotor argentino, que foi encontrado morto em seu apartamento sob circunstâncias misteriosas, em janeiro de 2015.
Criminosos que compraram e usaram o kit Adwind fizeram como alvo indivíduos privados, pequenos e médios negócios de diversas indústrias, incluindo: manufatura, finanças, engenharia, design, varejo, governo, transporte, telecomunicações e muitas outras.
E é por isso que temos de encorajar empresas a rever o propósito de usar a plataforma Java e desabilitá-la para fontes não autorizadas.
