Victimele Adwind primesc e-mail-uri trimise în numele HSBC Advising Services (de pe domeniul mail.hsbcnet.hsbc.com), cu o informare privind modalitățile de plată acceptate, ca anexă. Conform cercetării întreprinse de Kaspersky Lab, există dovezi că acest domeniu este activ încă din anul 2013.
În loc de instrucțiuni, documentele conțin eșantioane malware. Dacă utilizatorul deschide fișierul ZIP, care include un alt fișier, în format JAR, conținutul malware se instalează singur și încearcă să comunice cu server-ul de comandă și control. Programul malware îi permite infractorului să câștige control aproape total asupra dispozitivului compromis și să fure informații confidențiale din computerul afectat.
Distribuția geografică a utilizatorilor atacați, înregistrați de Kaspersky Security Network (KSN), pe parcursul acestei perioade, arată că aproape jumătate dintre ei (peste 40%) locuiesc în următoarele zece țări:
Conform cercetătorilor Kaspersky Lab, de vreme ce printre victime există un număr mare de companii, este posibil ca infractorii să fi folosit liste de mailing specifice industriei respective pentru a-și derula atacurile. Având în vedere numărul detecțiilor, acestea s-au bazat mai degrabă pe amplitudine decât pe o tehnologie sofisticată.
Parcursul programului malware Adwind RAT
În 2016, Kaspersky Lab a raportat atacuri realizate cu ajutorul Adwind Remote Access Tool (RAT), un program malware multifuncțional, cunoscut și ca AlienSpy, Frutas, Unrecom, Sockrat, JSocket și jRat, distribuit printr-o singură platformă, sub formă de serviciu malware.
Una dintre principalele caracteristici care diferențiază Adwind RAT de celelalte programe de malware comercial este faptul că este distribuit în sistem deschis, sub forma unui serviciu pentru care ”clientul” plătește o taxă ca să folosească programul malware.
Conform rezultatelor investigației, întreprinse între anii 2013 și 2016, au fost folosite diferite versiuni ale Adwind în atacuri împotriva a cel puțin 443.000 de utilizatori individuali, organizații comerciale și non-comerciale din lume.
Pentru a se proteja împotriva amenințării cibernetice, Kaspersky Lab le recomandă companiilor să limiteze folosirea programului Java la aplicații izolate, care nu pot funcționa fără această platformă. Într-un mod similar operațiunilor financiare, aplicațiile Java pot fi izolate, aplicându-li-se principii de maximă securitate. Soluțiile Kaspersky Lab oferă o gamă largă de funcții de tip Application Control pentru a seta o metodă care să monitorizeze și să controleze utilizarea unor aplicații specifice pe dispozitivele endpoint ale companiilor.