Le malware-as-a-service Adwind a fait plus de 400 000 victimes à travers le monde

Lors du Security Analyst Summit 2016, notre équipe de recherche et d’analyse globales (Global Research and Analysis Team – GReAT) a publié des recherches approfondies sur l’outil d’accès à distance (RAT) Adwind. Cet outil malveillant est également connu sous les noms d’AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat. Il a été développé pendant plusieurs années et a été distribué par une simple plate-forme de malware-as-a-service, ce qui signifie que quiconque pouvait verser une petite somme (allant de 25 $ à 300 $) pour le service et utiliser cet outil malveillant à son avantage.

Nos chercheurs de GReAT ont découvert cette plate-forme de maliciel pendant une tentative d’attaque ciblée contre une banque de Singapour. Le maliciel se présentait sous la forme d’un fichier Java malveillant joint à un e-mail de harponnage qui avait été reçu par un employé de la banque. Il s’agissait simplement d’un exemple typique de distribution de ce maliciel.

Plusieurs fonctionnalités de ce maliciel ont attiré l’attention des chercheurs. Tout d’abord, il pouvait être exécutés sur plusieurs plates-formes différentes : en plus de Windows, il était capable d’infecter les systèmes d’exploitation Linux, OS X et Android. Bien que Java ne constitue absolument pas une plate-forme de maliciels, on le considère néanmoins comme la deuxième vulnérabilité la plus importante en terme de sécurité, ce qui rend nécessaire la publication constante de correctifs, la première vulnérabilité restant assurément le plug-in d’Adobe Flash. De plus, les applications Java sont capables d’être exécutées sur tous les systèmes d’exploitation de par leur conception. Cela fait de Java un environnement très pratique pour ceux qui souhaiteraient développer un maliciel multi-plate-forme. C’est principalement pour cela qu’Oracle fait beaucoup d’efforts pour améliorer la sécurité de Java.

Oracle to Kill Java Browser Plugin: https://t.co/aF0qj9WWWV via @threatpost #RIPJAVA pic.twitter.com/5kbts0mNcD

— Kaspersky Lab (@kaspersky) January 28, 2016

La seconde constatation suite à la découverte du maliciel, c’est qu’il n’était détecté par aucun programme antivirus.

Troisièmement, il était très compétent : la liste de ses fonctionnalités comprenait la capacité à collecter des frappes sur le clavier, voler des mots de passe cachés, des certificats VPN et des clés de portefeuilles de devises chiffrées, prendre des captures d’écran, capturer des vidéos, des photos et des images du micro et de la webcam de l’ordinateur, collecter des informations système et d’utilisateur, gérer les SMS en cas d’OS Android, et cetera. Comme vous pouvez le voir, la seule limite des criminels était leur talent et leur imagination.

Après tout, il s’agissait d’un outil d’espionnage multi-plateformes très puissant. Après avoir enquêté sur l’activité du maliciel, nos chercheurs sont parvenus à la conclusion suivante : l’histoire du la boîte à outils malveillante Adwind est bien plus trépidante que ce qu’il semblait au début.

Il s’est avéré que le maliciel a été développé depuis plusieurs années et que les premiers échantillons de celui-ci remontent jusqu’à l’année 2012. Il a eu plusieurs noms différents à différentes époques : ses créateurs l’ont appelé Frutas en 2012, Adwind en 2013, Unrecom et AlienSpy en 2014 et JSocket en 2015.

AlienSpy RAT Resurfaces as JSocket via @threatpost https://t.co/5ZWmhpGiKm pic.twitter.com/koTpglGJjP

— Kaspersky Lab (@kaspersky) August 24, 2015

Les experts de GReAT pensent qu’il n’y a qu’un seul individu très travailleur qui se cache derrière la plate-forme Adwind, et qui a développé et ajouté de nouvelles fonctionnalités et modules pendant les quatre dernières années au moins. Malgré tout le raffut qu’il y a autour de la sécurité Java, cette plate-forme n’a pas été créée pour simplifier la vie des cybercriminels, et l’auteur du maliciel Adwind a dû trouver un certain nombre de solutions pour que tout son plan puisse marcher. Bien entendu, cette personne pourrait aussi se reposer sur les épaules de sous-traitants, mais tous les efforts semblent fournir un revenu confortable : selon nos calculs, tout le service pourrait rapporter 200 000 $ par an. Cependant, si l’on prend en compte que la dernière version du portail n’a été lancée qu’à l’été 2015, il est possible que le criminel attende encore son argent.

Au début, la plate-forme ne comportait qu’une interface en espagnol, mais une interface en anglais a été ajoutée par la suite. Suite à cette mise à jour, Adwind a été reconnu globalement par les cybercriminels de tous types, y compris par les escrocs prêts à réaliser toutes sortes de fraudes de niveau avancé, les concurrents déloyaux et les cybermercenaires engagés pour espionner des personnes et des organisations. Il peut également être utilisé pour quiconque veut espionner des personnes qu’il connaît.

La situation géographique des victimes a changé au fil des années. En 2013, c’étaient les pays de langue arabe et hispanique qui comptaient le plus de victimes. Les criminels de l’année suivante ont visé la Turquie et l’Inde, puis les EAU, les États-Unis et le Vietnam. En 2015, la Russie a compté le plus de victimes, suivie des EAU, de la Turquie, des États-Unis et de l’Allemagne. Cela est compréhensible étant donné qu’Adwind est vendu à différents cybercriminels qui vivent dans le monde entier.

Selon ce que nous savons, le nombre de victimes durant ces quatre ans s’élève à 443 000. Il convient également de signaler que nous avons observé d’importants pics d’infection fin 2015. Entre août 2015 et janvier 2016, plus de 68 000 utilisateurs ont fait face à une version du maliciel RAT Adwind. De plus, ce maliciel a fait son apparition dans une affaire de cyberespionnage en août 2015. Il s’est avéré que l’une des solutions Adwind appelée AlienSpy avait été utilisée pour espionner un procureur argentin qui a été retrouvé mort dans son appartement en janvier 2015, dans des circonstances mystérieuses.

Les criminels qui ont acheté et utilisé le kit Adwind avaient pour cibles des personnes privées et des petites et moyennes entreprises d’un certain nombre d’industries comprenant la manufacture, la finance, l’ingénierie, le design, la vente, la gestion, le transport, les télécoms et beaucoup d’autres.

C’est pour cela que nous ne pouvons qu’encourager les entreprises à reconsidérer l’objectif d’utilisation de la plate-forme Java et à la désactiver pour toutes les sources non autorisées.