Portugal entre os países atacados pelo malware Adwin

A Kaspersky Lab detetou um novo ataque realizado pela backdoor Adwind Remote Access Tool (RAT) que até à data já impactou vários setores industriais, incluindo retalho e distribuição (20,1%), arquitetura e construção (9,5%), transportes e logística (5,5%), seguros e serviços legais (5%) e consultoria (5%).

As vítimas do ataque Adwind recebem e-mails em nome do HSBC Advising Service (a partir do domínio mail.hsbcnet.hsbc.com), com um aviso de pagamento em anexo. De acordo com a investigação elaborada pela Kaspersky Lab, a atividade do domínio deste e-mail pode ser rastreada até 2013.

Em vez de instruções, os anexos contêm amostras deste malware. Se a vítima do ataque abrir o ficheiro ZIP em anexo, que contém um ficheiro JAR, o malware instala-se automaticamente e tenta estabelecer uma comunicação com a sua central de comando e controlo. O malware permite que o hacker ganhe um controlo quase total sobre o dispositivo em questão e roube informações confidenciais do computador infetado.

De acordo com os investigadores da Kaspersky Lab, uma vez que entre as vítimas se encontram grandes empresas, os hackers podem utilizar mailing lists específicas da indústria para que os seus ataques sejam direcionados. Considerando o número de deteções, estes estão mais focados em ataques de grandes dimensões e alcance, em vez de tecnologias sofisticadas.  

A Kaspersky Lab já tinha reportado ataques realizados através do Adwind Remote Access Tool (RAT) durante o ano passado. Este programa de malware multifuncional, que cruza várias plataformas, é também conhecido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat, e é distribuído através de uma única plataforma de malware-as-a-service.

Uma das principais caraterísticas que distingue o Adwind RAT de outros malwares comerciais é o facto de este ser distribuído livremente no formato de um serviço pago, onde o “consumidor” paga uma taxa para utilizar este programa malicioso.
De acordo com os resultados da investigação, realizada entre 2013 e 2016, têm sido utilizadas diferentes versões do malware Adwind em ataques contra, pelo menos, 443 mil utilizadores particulares, organizações comerciais e não-comerciais em todo o mundo.

Com o objetivo de se protegerem a si próprios e às suas empresas contra esta ameaça, a Kaspersky Lab aconselha as organizações a limitarem a utilização do Java a aplicações isoladas que são impossíveis de executar sem a utilização desta plataforma. De uma forma semelhante à das operações financeiras, as aplicações Java podem ser isoladas com princípios de segurança máximos aplicados às mesmas.