В Cisco раскрыли новую атаку трояна Adwind, обманывающего антивирусы

Специалисты из Cisco Talos, подразделения по расследованию киберугроз, обнаружили атаку вируса Adwind версии 3.0. Троян, известный как AlienSpy, JSocket и jRat, использовался ранее для кражи данных с промышленных предприятий, но теперь в нем появились инструменты для обхода антивирусного ПО. Он распространяет скомпрометированные файлы с расширениями .csv и .xlt, которые по умолчанию открывает Microsoft Excel, создающие вредоносный скрипт на Visual Basic для загрузки полной версии малвари.

Возможности Adwind

Кроме хищения данных, троян способен собирать информацию о ПК, включая нажатые клавиши, делать скриншоты и записывать видео, а также красть криптовалютные ключи. Специалисты зафиксировали более 400 тысяч атак с использованием Adwind.

Итоги расследования Cisco Talos

ИБ-исследователи начали следить за спам-кампанией по распространению новой версии вредоноса в августе 2018 года. Атака велась преимущественно на пользователей Windows, Linux и macOS в Турции и Германии.

Злоумышленники заражали жертв файлами с расширениями .htm, .xlt, .xlc, .db и .csv, большинство из которых открываются MS Excel по умолчанию. В случае с нестандартными расширениями запускался специальный скрипт, который открывал программу с «правильным» расширением.

Использование механизма Dynamic Data Exchange (DDE) не позволяло антивирусному ПО распознать малварь, содержащуюся в этих файлах, — из-за отсутствующего заголовка оно просто пропускало их как поврежденные. Впрочем, в Excel есть методы защиты от поврежденных пакетов или неправильных расширений, но выбор варианта действий программы остается за пользователем:

После запуска вредонос активировал скрипт на Visual Basic, который оперировал инструментом BITSAdmin, созданный в Microsoft для генерации заданий и контроля над их выполнением. Он загружал программу Allatori Obfuscator, которая, в свою очередь, устанавливала Adwind со всеми системными полномочиями.

Трояны подстерегают пользователей не только десктопных ОС, но и мобильных. В конце августа 2018 года на Android начал распространяться вредонос Asacub, который определяет номер телефона жертвы и блокирует банковское приложение, что дает злоумышленникам беспрепятственный контроль над счетами пользователя.