Троянец-как-услуга: как Adwind заразил 400 тысяч пользователей

На Security Analyst Summit 2016 специалисты из нашего Глобального центра исследований и анализа угроз (GReAT) представили подробности расследования деятельности трояна удаленного доступа Adwind RAT (Remote Access Tool). Это вредоносное ПО также известно под такими именами, как AlienSpy, Frutas, Unrecom, Sockrat, JSocket и jRat. Создатели Adwind совершенствуют его уже несколько лет и продают в даркнете по бизнес-модели «троянец-как-услуга», то есть кто угодно может заплатить создателю копеечку (цены действительно скромные, от $25 до $300) и использовать Adwind в своих целях.

Исследователи из GReAT обнаружили Adwind, когда расследовали попытку целевого проникновения в систему сингапурского банка. Один из сотрудников банка получил письмо с вредоносным вложением, и этот образец попал к нам в руки. Это, собственно, был типичный пример того, как распространяется подобное вредоносное ПО.

Внимание исследователей привлекли несколько особенностей полученного образца. Для начала троянец мог заразить не только компьютеры на Windows, но и устройства на Linux, Mac OS X и Android.

Дело в том, что приложения Java отличаются способностью запускаться в любой операционной системе, именно поэтому Java является очень привлекательной для преступников, создающих мультиплатформенное вредоносное программное обеспечение.

Oracle установила новый своеобразный рекорд: выпустила набор аж из 248 патчей — https://t.co/BUnouiB9Ij

— Kaspersky (@Kaspersky_ru) January 22, 2016

Второй интересной особенностью найденного нашими экспертами троянца было то, что на момент обнаружения его не определял ни один из антивирусов.

И наконец, новый зловред оказался очень способным. Он работал как клавиатурный шпион; записывал видео, фото и звук с веб-камеры и микрофона; умел воровать сохраненные пароли, VPN-сертификаты и ключи от электронных кошельков и так далее. То есть киберпреступников в использовании Adwind ограничивал не арсенал возможностей троянца, а лишь их собственные умения и воображение.

Shortlist of JSocket features. Only *short* list #TheSAS2016 pic.twitter.com/9SYObtskbZ

— Eugene Kaspersky (@e_kaspersky) February 8, 2016

В общем, у создателей получился весьма мощный инструмент для кибершпионажа. Изучив активность зловреда, исследователи пришли к выводу, что даже история создания троянца довольно необычна.

Его последовательно разрабатывали в течение нескольких лет, а первые образцы всплыли в 2012 году. В разное время троянец носил разные имена: в 2012 году преступники продавали свое детище под именем Frutas, в 2013 году — Adwind, в 2014 году троянец превратился в Unrecom и AlienSpy, а в 2015 году обрел имя JSocket.

Java держит марку и остается самым опасным приложением в уходящем году! http://t.co/fwul3YH6OJ pic.twitter.com/nnwH7zBmjn

— Kaspersky (@Kaspersky_ru) December 12, 2014

Специалисты GReAT считают, что Adwind и все его инкарнации разрабатываются одним трудолюбивым хакером, уже четыре года выпускающим все новые функции и модули. Несмотря на весь шум, вызванный уязвимостями в Java, эта платформа в общем-то создавалась не для того, чтобы облегчить жизнь киберпреступникам, поэтому автору Adwind пришлось изобрести несколько обходных вариантов, чтобы заставить всю схему работать так, как ему надо.

Конечно, вполне вероятно, что часть задач он перекладывал на плечи фрилансеров. Тем не менее все усилия обещают окупиться, так как сервис, по нашим подсчетам, способен приносить ежегодную прибыль в размере порядка $200 тыс.

Вначале платформа Adwind была доступна только на испанском, но позднее обзавелась английским интерфейсом, что позволило оценить ее киберпреступникам со всего света. Основные пользователи троянца — это мошенники, занимающиеся продвинутыми кибераферами, недобросовестные конкуренты какого-нибудь бизнеса, а также интернет-наемники, которым платят за онлайн-шпионаж за людьми и организациями. Кроме того, программное обеспечение Adwind может использоваться любым человеком, желающим просто проследить за своими знакомыми.

С точки зрения географии места наибольшей концентрации жертв также менялись все эти четыре года. В 2013 году под огонь попали страны, говорящие на испанском и арабском языках. В следующем году преступники нацелились на Турцию и Индию, а также на ОАЭ, США и Вьетнам. В 2015 году на вершину топа вышла Россия, но ОАЭ, Турция, США и Германия дышали ей в затылок. Такой разброс вполне понятен, так как Adwind используется разными киберпреступниками, живущими в разных частях света.

Насколько нам известно, за эти четыре года троянец собрал более 443 тыс. жертв. Стоит также отметить, что в конце 2015 года мы обнаружили большой скачок в активности Adwind: с августа 2015-го по январь 2016 года с вредоносным ПО Adwind RAT столкнулись более 68 тыс. пользователей. Кроме того, в августе 2015 года этот же троянец неожиданно всплыл в истории о кибершпионаже. Как оказалось, его использовали, чтобы следить за аргентинским прокурором, которого в январе 2015 года нашли мертвым у себя дома, причем погиб он при странных обстоятельствах.

Преступники, купившие троянское ПО Adwind, используют его против частных пользователей, а также малого и среднего бизнеса, работающего в разных индустриях, в том числе в производстве, финансовой сфере, разработке, дизайне, ритейле, правительстве, грузоперевозках, телекоме и других.

В новейшей версии Java обнаружен эксплойт для уязвимости нулевого дня. Так что пока ее лучше отключить: https://t.co/A1qaelpdJH

— Kaspersky (@Kaspersky_ru) July 14, 2015

Чтобы избежать заражения, мы вынуждены посоветовать компаниям пересмотреть политики использования Java-платформ и отключить Java для всех неавторизованных источников.