8 février 2015

Adwind : la plate-forme de Malware as a Service qui a frappé plus de 400 000 victimes à travers le monde

Selon les résultats de l’enquête menée entre 2013 et 2016, différentes versions du malware Adwind ont été utilisées dans des attaques contre au moins 443 000 particuliers, entreprises et organisations non commerciales à travers le monde.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab a publié des recherches approfondies sur le RAT (Remote Administration Tool : outil d’administration à distance) Adwind, un malware multi plates-formes et multi fonctions également connu sous les noms AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat, propagé par une même plate-forme de type MaaS (Malware as a Service). Selon les résultats de l’enquête menée entre 2013 et 2016, différentes versions du malware Adwind ont été utilisées dans des attaques contre au moins 443 000 particuliers, entreprises et organisations non commerciales à travers le monde. La plate-forme et le malware sont toujours actifs.

Targets of Adwind


Fin 2015, les chercheurs de Kaspersky Lab ont eu connaissance d’un programme malveillant inhabituel, découvert lors d’une tentative d’attaque ciblée contre une banque à Singapour. Un fichier JAR infecté était joint à un e-mail de spear-phishing adressé à un employé au sein de l’établissement. La richesse fonctionnelle du malware, notamment sa capacité à s’exécuter sur des plates-formes multiples, ainsi que sa non-détection par toutes les solutions antivirus ont immédiatement attiré l’attention des chercheurs.



 

Le RAT Adwind

Il s’est avéré que l’établissement avait été attaqué au moyen du RAT Adwind, un backdoor disponible dans le commerce et entièrement écrit en Java, ce qui le rend multi plates-formes. Il peut ainsi fonctionner sous Windows, Mac OS X, Linux et Android pour offrir des capacités de prise de contrôle à distance, de collecte et d’exfiltration de données, etc.

Si le destinataire ouvre le fichier JAR joint au message, le malware s’auto-installe et tente de communiquer avec son serveur de commande et de contrôle. Il intègre les fonctions suivantes :

  • Interception de frappes clavier
  • Vol de mots de passe cachés et collecte de données sur les formulaires web
  • Copies d’écran
  • Prises de vues (photos ou vidéos) avec la webcam
  • Enregistrement sonore via le micro
  • Transfert de fichiers
  • Collecte d’informations générales sur le système et l’utilisateur
  • Vol de clés cryptomonétaires
  • Manipulation de SMS (sous Android)
  • Vol de certificats VPN

Si Adwind est principalement utilisé pour des attaques opportunistes et des campagnes massives de spam, il a été observé lors d’attaques ciblées dans certains cas. En août 2015, il est apparu dans l’actualité en lien avec une affaire de cyberespionnage visant un procureur argentin retrouvé mort quelques mois avant, en janvier. L’incident contre la banque de Singapour est un autre exemple d’attaque ciblée. Un examen approfondi des événements liés à l’emploi du RAT Adwind montre que ces attaques ciblées ne sont pas des cas isolés.

Cibles visées

Dans le cadre de leur enquête, les chercheurs de Kaspersky Lab ont pu analyser près de 200 exemples d’attaques de spear-phishing, organisées par des inconnus afin de répandre le malware Adwind, et ainsi identifier les secteurs les plus visés :

A Brief History of the Adwind RAT malware


  • Fabrication (manufacturing)
  • Finance
  • Ingénierie
  • Design
  • Commerce
  • Administrations
  • Transport
  • Télécommunications
  • Logiciels
  • Enseignement
  • Agro-alimentaire
  • Santé
  • Médias
  • Energie




D’après les informations provenant du réseau KSN (Kaspersky Security Network), les 200 cas d’attaques de spear-phishing observés en l’espace de six mois, entre août 2015 et janvier 2016, ont abouti à l’exposition de plus de 68 000 utilisateurs à des échantillons du malware RAT Adwind. La répartition géographique des utilisateurs attaqués enregistrés par KSN durant cette période révèle que près de la moitié d’entre eux (49 %) résident dans l’un des dix pays suivants : Emirats Arabes Unis, Allemagne, Inde, Etats-Unis, Italie, Russie, Vietnam, Hong Kong, Turquie, Taiwan.

En fonction des profils des cibles identifiées, les chercheurs de Kaspersky Lab pensent que les « clients » de la plate-forme Adwind sont soit des escrocs désireux de franchir un palier (en utilisant un malware pour des fraudes plus élaborées), des concurrents indélicats, des cybermercenaires (espions à louer) ou encore des particuliers voulant espionner des connaissances.

 

Menace as a service

L’une des principales originalités du RAT Adwind par rapport à d’autres malwares commerciaux tient au fait qu’il est distribué ouvertement sous la forme d’un service payant, où le « client » paye une somme en échange de l’utilisation du programme malveillant. D’après une étude de l’activité des « utilisateurs » sur le forum interne et d’autres observations, les chercheurs de Kaspersky Lab estiment le nombre de ceux-ci aux alentours de 1800 vers la fin de 2015, ce qui en fait l’une des plus importantes plates-formes de malware aujourd’hui en service.

« La plate-forme Adwind, en l’état actuel, réduit considérablement le volume minimum de connaissances professionnelles nécessaires pour faire partie du milieu de la cybercriminalité. D’après notre enquête sur l’attaque contre la banque de Singapour, nous pouvons dire que celui qui se cache derrière est loin d’être un pirate professionnel et nous pensons que la plupart des “clients” de la plate-forme Adwind possèdent ce niveau de compétences en informatique. C’est là une tendance inquiétante », souligne Aleksandr Gostev, expert en sécurité chez Kaspersky Lab.

« En dépit de multiples rapports publiés ces dernières années par les acteurs de la sécurité au sujet des différentes générations de cet outil, la plate-forme est toujours active et héberge des criminels de toutes sortes. Nous avons réalisé ces recherches dans le but d’attirer l’attention de la communauté de la sécurité et des autorités afin qu’elles fassent le nécessaire pour la neutraliser totalement », conclut Vitaly Kamluk, Directeur de l’équipe GREaT de Kaspersky Lab en Asie-Pacifique.

Kaspersky Lab a communiqué aux autorités les résultats de ses recherches sur la plate-forme Adwind.

Kaspersky Lab encourage les particuliers et les entreprises qui souhaitent se protéger contre cette menace à vérifier l’intérêt d’utiliser une plate-forme Java et à la désactiver pour toutes les sources non autorisées.

De plus amples informations au sujet de la plate-forme MaaS Adwind sont disponibles sur le site Securelist.com

Découvrez comment sont menées les enquêtes sur les attaques ciblées complexes : http://www.youtube.com/watch ?v=FzPYGRO9LsA

Pour en savoir plus sur les opérations de cyberespionnage : https://apt.securelist.com/


Articles related to Actualités Virus