Nueva oleada del malware Adwind Rat

Nueva oleada del malware Adwind Rat

Entre 2013 y 2016, se han utilizado diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios privados, organizaciones comerciales y no comerciales de todo el mundo. Ahora,** una nueva oleada afecta a un centenar de países, entre los que se encuentra España.**

El malware o código malicioso sigue siendo en la actualidad una de las ciberamenazas con más presencia en todo el mundo. Muchos de sus ataques se repiten o retornan, más sofisticados y complejos, al pasar los años. Ahora, una nueva oleada masiva del malware Adwind afecta a miles de víctimas en más de cien países, tal y como han advertido desde Kaspersky Lab tras una investigación.

Las víctimas de Adwind reciben falsos correos electrónicos enviados a nombre del Servicio de Asesoramiento de HSBC (del dominio mail.hsbcnet.hsbc.com), con consejos de pago en el archivo adjunto. La herramienta de acceso remoto Adwind (RAT) ha sido usada para atacar a más de 1.500 organizaciones, impactando en diversos sectores industriales como el retail y la distribución (20,1%), arquitectura y construcción (9,5%), transporte y logística (5,5%), seguros y servicios legales (5%) y consultoría (5%).

Adwin Rat

En lugar de las instrucciones, los archivos adjuntos de los emails contienen una muestra de malware. Si el usuario opta por abrir el archivo ZIP adjunto, que tiene un archivo JAR, el malware se auto instala de forma automática e intenta comunicarse con su servidor de comando y control. De esta manera, los ciberdelincuentes toman el control del dispositivo infectado y pueden robar información confidencial y personal presente en su memoria.
España, entre los afectados por Adwind

En cuanto a la distribución geográfica de las víctimas de este malware registradas por Kaspersky Security Network (KSN), en torno a la mitad de ellos (más del 40%) se encuentran en los siguientes países: Malasia, Reino Unido, Alemania, Líbano, Turquía, Hong Kong, Kazajistán, Emiratos Árabes Unidos, México y Rusia. En España también existen organizaciones afectadas

El año pasado Kaspersky Lab ya informaba sobre los ataques perpetrados a través de la Herramienta de Acceso Remoto de Adwind (RAT), un programa de malware multiplataforma y multifuncional que también es conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y jRat, que se distribuye a través de una plataforma malware-as- a-service.
La principal diferencia entre Adwind RAT y otros tipos de malware es que se distribuye abiertamente en forma de un servicio de pago, donde el cliente abona una cuota para usar el programa malicioso. Su alcance ha sido masivo, ya que si contabilizamos diferentes versiones de este código malicioso, ha habido desde su creación 443.000 usuarios privados, organizaciones comerciales y no comerciales afectadas en todo el planeta.

De que es capaz el  malware Adwind Rat?

  • Recopilar las pulsaciones del teclado
  • robar contraseñas almacenadas en caché y recuperar datos de formularios web
  • tomar capturas de pantalla
  • tomar fotografías y grabar vídeo por medio de la cámara web
  • grabar sonido por medio del micrófono
  • transfier archivos
  • recopilar información general del usuario y del sistema
  • robar claves para carteras de criptomoneda
  • gestionar mensajes SMS (para Android)
  • robar certificados VPN

Kaspersky Lab recomienda que las compañías limiten el uso de Java a aplicaciones aisladas que son imposibles de ejecutar sin el uso de esta plataforma. Puedes acceder al informe completo pinchando aquí