2175777

Malware-as-a-Service

Adwind-Malware attackiert über 400.000 Nutzer

09.02.2016 | 16:33 Uhr |

Ein kommerziell vertriebener Schädling hat bislang mehr als 400.000 Rechner in privaten Haushalten sowie in Unternehmen und Organisationen angegriffen. Die Adwind-Malware ermöglicht den Fernzugriff auf verseuchte Computer.

Als Forscher gegen Ende 2015 auf eine gezielte Attacke gegen eine Bank in Singapur aufmerksam wurden, erkannte noch kein Antivirusprogramm den dabei genutzten Schädling. Er war als JAR-Datei (Java-Archiv, eine Art ZIP-Datei) an eine so genannte Spear-Phishing-Mail angehängt. Es handelt sich um ein vielseitig einsetzbares, auf verschiedenen Plattformen laufendes Remote Access Tool (RAT).

Kaspersky Lab identifizierte die Malware als Variante der kommerziell vertriebenen Schad-Software Adwind, die auch unter Namen wie AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat bekannt ist. Kaspersky beobachtet Adwind bereits seit 2013. Es wird meist für nicht gezielte Angriffe eingesetzt und mit massenhaft verschickten Spam-Mails verbreitet. Doch Adwind wird auch bei zielgerichteten Attacken genutzt. Es funktioniert unter Windows, Mac OS X, Linux und Android.

Öffnet ein Mail-Empfänger die JAR-Datei, installiert sich der Schädling selbsttätig. Varianten enthalten HTA- oder VBS-Dateien, die bei ihrer Ausführung Java installieren, falls dies nicht bereits vorhanden ist. Der installierte Schädling kann unter anderem Tastatureingaben mitlesen, Passwörter ausspionieren, Screenshots, Fotos und Videos erstellen und versenden, verschiedenste Daten sammeln und übertragen, Schlüssel für Kryptowährung und VPN-Zertifikate stehlen und unter Android auch SMS verwalten.

Adwind alias AlienSpy wird als Malware-as-a-Service vertrieben. Die kriminellen Kunden zahlen eine Nutzungsgebühr und erhalten dafür stets die neuesten Schädlingsversionen sowie Unterstützung bei deren Einsatz. Die Nutzung erfordert kaum spezielle Kenntnisse. Zu den Hauptverbreitungsgebieten gehören Deutschland, die USA, Russland, die Türkei, Italien und Indien. Hier wurden bislang mindestens 440.000 Nutzer angegriffen.

Die Adwind-Plattform ist, obwohl schon seit Jahren bekannt und unter Beobachtung, noch immer aktiv. Kaspersky Lab hat die gesammelten Erkenntnisse an Strafverfolgungsbehörden übermittelt, um eine Zerschlagung dieses kriminellen Netzwerks voran zu treiben.

0 Kommentare zu diesem Artikel
2175777