El Equipo de Análisis e Investigación de Kaspersky Lab (GREaT) ha publicado una investigación sobre Adwind RAT (Remote Access Tool), una plataforma cruzada que contiene un programa de malware multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, y que se distribuye a través de una sencilla plataforma de malware-as-a-service.

De acuerdo con los resultados del análisis, llevado a cabo entre 2013 y 2016, se han utilizado diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios particulares, organizaciones en todo el mundo. La plataforma y el malware siguen activos.

A finales de 2015, durante una tentativa de ataque dirigido contra un banco en Singapur, los analistas de Kaspersky Lab se dieron cuenta de la existencia de un programa de malware inusual. Dos hechos llamaron la atención de los analistas:

* Las nuevas funcionalidades del archivo JAR malicioso, como por ejemplo el poder operar en múltiples plataformas, utilizado junto a un correo electrónico de phishing

* el hecho de no haber sido detectado por ningún antivirus

Adwind RAT
Adwind RAT es un backdoor en venta escrito completamente en Java, lo que hace que sea multiplataforma. Se puede ejecutar en Windows, OS X, Linux y plataformas Android, lo que proporciona control remoto de escritorio, recopilación de datos, exfiltración de datos, etc. Si el usuario abre el archivo JAR adjunto, el malware se auto-instala e intenta comunicarse con el servidor de comando y control.

El software malicioso puede:
• Recoger las pulsaciones de teclado
• Robar contraseñas almacenadas en caché y los datos de acceso de formularios web
• Hacer capturas de pantalla
• Sacar fotografías y grabar vídeos con la cámara web
• Grabar sonido desde el micrófono
• Transferir archivos
• Recopilar información general del sistema y del usuario
• Robar claves para monederos virtuales
• Administrar SMS (para Android)
• Robar certificados VPN

A pesar de que los utilizan principalmente ciberatacantes oportunistas y se distribuye en campañas masivas de spam, hay casos en los que también se utilizó Adwind en ataques dirigidos. Así, en agosto del año 2015, Adwind ya apareció en noticias relacionadas con el ciberespionaje contra un fiscal argentino que había sido encontrado muerto en enero de 2015. De igual modo, el incidente contra el banco de Singapur fue otro ejemplo de un ataque dirigido. Una mirada más en profundidad a eventos relacionados con el uso de Adwind RAT mostró que estos ataques dirigidos no fueron los únicos.

Objetivos de interés
Durante la investigación, los analistas de Kaspersky Lab fueron capaces de analizar cerca de 200 ejemplos de ataques de phishing organizados por cibercriminales desconocidos que expandían el malware Adwind y fueron capaces de identificar los sectores de la mayor parte de los objetivos atacados:
• Fábricas
• Finanzas
• Ingeniería
• Diseño
• Retail
• Gobierno
• Mensajería
• Telecomunicaciones
• Software
• Educación
• Producción de alimentos
• Salud
• Medios
• Energía

Según la información de Kaspersky Security Network, las 200 muestras de ataques de phishing observados en los seis meses, entre agosto de 2015 y de enero de 2016, fueron encontradas en más de 68.000 usuarios.

La distribución geográfica de los usuarios atacados registrados por KSN durante este período muestra que casi la mitad de ellos (49%) estaban viviendo en los siguientes 10 países: Emiratos Árabes Unidos, Alemania, India, EE.UU., Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwán.

En base a los perfiles de los objetivos identificados, los investigadores de Kaspersky Lab creen que los clientes de la plataforma Adwind se dividen en las siguientes categorías: scammers que quieren subir de nivel (utilizando malware para llevar a cabo fraudes más complejos), competencia desleal, cibermercenarios y usuarios privados que quieren espiar a personas que conocen.

Threat-as-a-Service
Una de las características que diferencia a Adwind RAT de cualquier otro malware comercial es que se oferta abiertamente como servicio de pago, donde un “cliente” paga un fee por el uso del programa malicioso. Según Kaspersky Lab, se estima que había unos 1.800 usuarios en el sistema a finales de 2015, lo que la convierte en una de las mayores plataformas de malware de la actualidad.

“En su estado actual, la plataforma Adwind rebaja significativamente el conocimiento requerido por un cibercriminal que quiera iniciarse en estos menesteres. Tras nuestra investigación, podemos concluir que el ataque al banco de Singapur fue llevado a cabo por un criminal que estaba lejos de ser un hacker profesional y creemos que la mayoría de los “clientes“ de la plataforma Adwind tienen ese mismo nivel de conocimientos informáticos”, expone Aleksandr Gostev, director de expertos de seguridad de Kaspersky Lab.

“A pesar de que en los últimos años varios fabricantes de seguridad han alertado sobre las diferentes generaciones de la herramienta, la plataforma sigue activa y “habitada” por cibercriminales de todo tipo. Hemos llevado a cabo esta investigación para llamar la atención de la comunidad de la seguridad así como de las autoridades para que se tomen las medidas necesarias para eliminarla por completo”, explica Vitaly Kamluk, director global de investigación & análisis de Kaspersky Lab en APAC.

Kaspersky Lab ha reportado a las autoridades pertinentes sus hallazgos sobre la plataforma Adwind. Kaspersky Lab hace un llamamiento a las empresas para que valoren el uso de una plataforma Java y eliminarla para todas las fuentes no autorizadas.