Специалисты из Cisco Talos, подразделения по расследованию киберугроз, обнаружили атаку вируса Adwind версии 3.0. Троян, известный как AlienSpy, JSocket и jRat, использовался ранее для кражи данных с промышленных предприятий, но теперь в нем появились инструменты для обхода антивирусного ПО. Он распространяет скомпрометированные файлы с расширениями .csv и .xlt, которые по умолчанию открывает Microsoft Excel, создающие вредоносный скрипт на Visual Basic для загрузки полной версии малвари.
Возможности Adwind
Кроме хищения данных, троян способен собирать информацию о ПК, включая нажатые клавиши, делать скриншоты и записывать видео, а также красть криптовалютные ключи. Специалисты зафиксировали более 400 тысяч атак с использованием Adwind.
Итоги расследования Cisco Talos
ИБ-исследователи начали следить за спам-кампанией по распространению новой версии вредоноса в августе 2018 года. Атака велась преимущественно на пользователей Windows, Linux и macOS в Турции и Германии.
Злоумышленники заражали жертв файлами с расширениями .htm, .xlt, .xlc, .db и .csv, большинство из которых открываются MS Excel по умолчанию. В случае с нестандартными расширениями запускался специальный скрипт, который открывал программу с «правильным» расширением.
Использование механизма Dynamic Data Exchange (DDE) не позволяло антивирусному ПО распознать малварь, содержащуюся в этих файлах, — из-за отсутствующего заголовка оно просто пропускало их как поврежденные. Впрочем, в Excel есть методы защиты от поврежденных пакетов или неправильных расширений, но выбор варианта действий программы остается за пользователем:
После запуска вредонос активировал скрипт на Visual Basic, который оперировал инструментом BITSAdmin, созданный в Microsoft для генерации заданий и контроля над их выполнением. Он загружал программу Allatori Obfuscator, которая, в свою очередь, устанавливала Adwind со всеми системными полномочиями.
Трояны подстерегают пользователей не только десктопных ОС, но и мобильных. В конце августа 2018 года на Android начал распространяться вредонос Asacub, который определяет номер телефона жертвы и блокирует банковское приложение, что дает злоумышленникам беспрепятственный контроль над счетами пользователя.
via ZDNet Source: блог Cisco Talos
