Adwind acelera el ecosistema de phishing bancario

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Se lanzó una nueva campaña de correos electrónicos de phishing con la herramienta de acceso remoto Adwind Global CP-1577

El 13 de junio de 2017, los correos electrónicos de phishing que contenían el malware Adwind RAT fueron enviados a bancos de todo el mundo.

Los correos electrónicos fueron disfrazados como mensajes de Western Union.

Adwind (AlienSpy, Fruit, Unrecom, Sockrat, JSocket, jRat) es una herramienta malintencionada de acceso remoto (RAT) diseñada para proporcionar acceso remoto a la máquina infectada.

Una característica distintiva es que se ejecuta en la plataforma Java.

Debido a esta característica, Adwind se puede lanzar en cualquier sistema operativo – Windows, Linux, OS X, Android.

Su funcionalidad incluye un keylogging, que recopila las contraseñas almacenadas en caché, certificados VPN, datos de autenticación para acceder a billeteras electrónicas, capturas de pantallas, grabación de video y sonido desde el micrófono del dispositivo o video de la cámara web, recopilación de información sobre el dispositivo y el sistema del usuario, control SMS en caso de que infecten un dispositivo móvil que se ejecuta sobre la plataforma Android.

Adwind una herramienta peligrosa

Vale la pena reiterar que además de Adwind actualmente los hackers utilizan activamente las siguientes herramientas de acceso remoto maliciosas: NanoCore, njRAT, DarkComet, NetWire, hVNC.

Hace casi dos meses, los atacantes comprometieron el servidor redundante de HandBrake, un popular programa de código abierto para convertir archivos de vídeo, y lo utilizaron para distribuir una versión de MacOS de la aplicación que contenía una nueva versión del malware Proton.

Este programa fue descubierto originalmente en enero de 2017 en un foro ruso de hackers.

Con Proton, los hackers pueden obtener privilegios de root en computadoras Mac.

Este hecho confirma que las herramientas de acceso remoto ya no amenazan sólo a los usuarios de Windows.

En abril de 2017, un código fuente de un nuevo troyano de acceso remoto, se hizo público el kit de herramientas RATAttack que utiliza el protocolo Telegram para las comunicaciones entre la máquina de la víctima y el atacante.

Además tengo plena certeza que veremos un aumento en el número de programas maliciosos basados ​​en este código fuente.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris