Als Forscher gegen Ende 2015 auf eine gezielte Attacke gegen eine Bank in Singapur aufmerksam wurden, erkannte noch kein Antivirusprogramm den dabei genutzten Schädling. Er war als JAR-Datei (Java-Archiv, eine Art ZIP-Datei) an eine so genannte Spear-Phishing-Mail angehängt. Es handelt sich um ein vielseitig einsetzbares, auf verschiedenen Plattformen laufendes Remote Access Tool (RAT). Kaspersky Lab identifizierte die Malware als Variante der kommerziell vertriebenen Schad-Software Adwind, die auch unter Namen wie AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat bekannt ist. Kaspersky beobachtet Adwind bereits seit 2013. Es wird meist für nicht gezielte Angriffe eingesetzt und mit massenhaft verschickten Spam-Mails verbreitet. Doch Adwind wird auch bei zielgerichteten Attacken genutzt. Es funktioniert unter Windows, Mac OS X, Linux und Android. Öffnet ein Mail-Empfänger die JAR-Datei, installiert sich der Schädling selbsttätig. Varianten enthalten HTA- oder VBS-Dateien, die bei ihrer Ausführung Java installieren, falls dies nicht bereits vorhanden ist. Der installierte Schädling kann unter anderem Tastatureingaben mitlesen, Passwörter ausspionieren, Screenshots, Fotos und Videos erstellen und versenden, verschiedenste Daten sammeln und übertragen, Schlüssel für Kryptowährung und VPN-Zertifikate stehlen und unter Android auch SMS verwalten. Adwind alias AlienSpy wird als Malware-as-a-Service vertrieben. Die kriminellen Kunden zahlen eine Nutzungsgebühr und erhalten dafür stets die neuesten Schädlingsversionen sowie Unterstützung bei deren Einsatz. Die Nutzung erfordert kaum spezielle Kenntnisse. Zu den Hauptverbreitungsgebieten gehören Deutschland, die USA, Russland, die Türkei, Italien und Indien. Hier wurden bislang mindestens 440.000 Nutzer angegriffen. Die Adwind-Plattform ist, obwohl schon seit Jahren bekannt und unter Beobachtung, noch immer aktiv. Kaspersky Lab hat die gesammelten Erkenntnisse an Strafverfolgungsbehörden übermittelt, um eine Zerschlagung dieses kriminellen Netzwerks voran zu treiben.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.