Attenzione ai falsi avvisi di pagamento, è il malware Adwind
Nuovo attacco di massa condotto a livello mondiale dal Remote Access Tool (RAT) Adwind. Lo ha rilevato Kaspersky Lab: questa backdoor multifunzionale è stata usata in cyberattacchi contro più di 1.500 aziende in oltre 100 Paesi, che hanno colpito diversi settori tra cui retail e distribuzione (20%), architettura ed edilizia (9,5%), spedizioni e logistica (5,5%), assicurazioni e servizi legali (5%), consulenza (5%).
Le vittime di Adwind, spiegano in una nota gli esperti di Kaspersky, ricevono email inviate a nome di HSBC Advising Service (dal dominio mail.hsbcnet.hsbc.com) con avvisi di pagamento in allegato. In base a un’analisi dello stesso Kaspersky Lab, l’attività di questo dominio email può essere fatta risalire al 2013. Al posto delle istruzioni, gli allegati contengono il sample del malware: se l’utente apre il file zip allegato, che contiene un file jar, il malware si autoinstalla e prova a comunicare con il proprio server command & control. Adwind permette ai cybercriminali di ottenere un controllo quasi completo del computer infetto e di rubare informazioni confidenziali.
La distribuzione geografica degli utenti colpiti, rilevata da Kaspersky Security Network (KSN) durante questo periodo, mostra che quasi la metà (più del 40%) viveva in dieci Paesi, con il testa la Malesia seguita da Regno Unito e Germania. Le vittime comprendono soprattutto aziende, di conseguenza – secondo i ricercatori di Kaspersky Lab – i criminali potrebbero usare mailing list di settori specifici i propri attacchi. Considerando il numero di rilevazioni, i criminali si sono focalizzati sulla dimensione dell’attacco, piuttosto che su tecnologie sofisticate.
Kaspersky Lab ha rilevato per la prima volta nel 2016 attacchi eseguiti con il Remote Access Tool (RAT) Adwind, un programma malware multipiattaforma e multifunzionale conosciuto anche come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, distribuito attraverso una sola piattaforma malware-as-a-service. Una delle caratteristiche principali che lo distingue dagli altri malware commerciali è proprio la disponibilità pubblica sottoforma di servizio a pagamento, dove il “cliente” paga un fee per usare il programma nocivo. Secondo i risultati dell’analisi, condotta tra il 2013 e il 2016, diverse versioni del malware Adwind sono state impiegate per eseguire attacchi contro almeno 443mila utenti privati, aziende commerciali e non commerciali in tutto il mondo.
Per proteggersi da questa minaccia, Kaspersky Lab consiglia alle aziende di limitare l’uso di Java per isolare le applicazioni che non possono essere eseguite senza l’uso di questa piattaforma. (fonte)
