Adwind : Une plateforme de Malware-as-a-Service qui frappe plus de 400.000 utilisateurs et organisations

15 février 2016

Le Global Research & Analysis Team de Kaspersky Lab a publié une recherche approfondie consacrée à l’outil d’administration à distance (RAT) Adwind, un programme malveillant transplateforme et multifonction également connu sous les noms AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat, et qui est distribué à partir d’une plateforme de malware-as-a-service.
D’après les résultats de l’enquête, menée entre 2013 et 2016, différentes versions du maliciel Adwind ont été utilisées dans des attaques menées contre au moins 443.000 utilisateurs privés et organisations commerciales et non-commerciales du monde entier. La plateforme et le maliciel sont toujours actifs.
Fin 2015, les chercheurs de Kaspersky Lab ont pris connaissance d’un programme malveillant inhabituel qui avait été découvert lors d’une tentative d’attaque ciblée contre une banque de Singapour. Une fichier JAR malveillant était joint à un e-mail de spear-phishing reçu par un employé ciblé de cette banque. Les riches fonctionnalités du maliciel, dont sa capacité à fonctionner sur plusieurs plateformes ainsi que le fait qu’il n’avait été détecté par aucune solution antivirus, ont immédiatement attiré l’attention des chercheurs.
Le RAT Adwind
Il s’est avéré que l’organisation avait été attaquée en utilisant le RAT Adwind, un backdoor disponible à l’achat et entièrement écrit en Java, ce qui le rend transplateforme. Il peut tourner sur les plateformes Windows, OS X, Linux et Android en fournissant des possibilités de contrôle à distance des desktops, de collecte de données, d’exfiltration de données, etc.
Lorsque l’utilisateur ciblé ouvre le fichier JAR joint, le maliciel s’auto-installe et essaie de communiquer avec le serveur de commande et de contrôle. Entre autres fonctionnalités, le maliciel a la capacité:

  • d’enregistrer les frappes au clavier
  • de dérober les mots de passe cachés et d’extraire les données des formulaires web
  • de réaliser des captures d’écran
  • de prendre des photos et d’enregistrer des vidéos à partir de la webcam
  • d’enregistrer des sons à partir du microphone
  • de transférer des fichiers
  • de collecter des informations générales sur le système et les utilisateurs
  • de voler des clés de portefeuilles pour cryptodevises
  • manage SMS (pour Android)
  • de dérober des certificat VPN

S’il est essentiellement utilisé par des hackers opportunistes et distribué dans le contexte de campagnes massive de spam, il est aussi des cas où Adwind a été mis en œuvre dans le cadre d’attaques ciblées. En août 2015, Adwind est ainsi apparu dans les infos relatives au cyberespionnage contre un procureur argentin qui avait été trouvé mort en janvier 2015. L’incident contre la banque de Singapour offre un autre exemple d’attaque ciblée. Un regard plus attentif porté aux événements en rapport avec l’emploi du RAT Adwind montre que ces attaques ciblées ne furent pas les seules.
Cibles d’intérêt
Durant leur investigation, les chercheurs de Kaspersky Lab ont été en mesure d’analyser près de 200 exemples d’attaques de spear-phishing organisées par des criminels inconnus pour diffuser le maliciel Adwind, et ont pu identifier les secteurs dans lesquels se trouvaient la plupart des cibles:

  • Industrie manufacturière
  • Finances
  • Engineering
  • Distribution
  • Pouvoirs publics
  • Transports
  • Télécoms
  • Logiciels
  • Enseignement
  • Agro-alimentaire
  • Soins de santé
  • Médias
  • Énergie

Sur la base des informations réunies par Kaspersky Security Network, les 200 exemples d’attaques de spear-phishing observés durant les six mois allant d’août 2015 à janvier 2016 ont permis de constater que des échantillons de RAT Adwind avaient été rencontrés par plus de 68.0000 utilisateurs. La distribution géographique des utilisateurs attaqués enregistrés par KSN durant cette période montre que près de la moitié d’entre eux (49%) vivaient dans les 10 pays suivants: Émirats arabes unis, Allemagne, Inde, États-Unis, Italie, Russie, Vietnam, Hong Kong, Turquie et Taïwan.
Eu égard aux profils des cibles identifiées, les chercheurs de Kaspersky Lab croient que les clients de la plateforme Adwind rentrent dans les catégories suivantes: escrocs désireux de passer au niveau supérieur (en utilisant des maliciels permettant une fraude plus sophistiquée), concurrents déloyaux, cybermercenaires (espions à gages) et personnes privées qui souhaitent espionner des personnes qu’elles connaissent.
Threat-as-a-Service
Une des principales caractéristiques qui distinguent le RAT Adwind des autres maliciels commerciaux est qu’il est distribué ouvertement sous la forme d’un service payant, dans lequel le « client » acquitte une redevance en échange de l’utilisation du programme malveillant. Sur la base d’une étude de l’activité des utilisateurs sur le forum de discussion interne et de diverses autres observations, les chercheurs de Kaspersky Lab estiment qu’il y avait environ 1.800 utilisateurs dans le système à fin 2015. Ce qui en fait l’une des plus vastes plateformes de maliciels existant aujourd’hui.
« Dans son état actuel, la plateforme Adwind réduit sensiblement le niveau minimum de connaissances professionnelles nécessaires pour un criminel potentiel désireux d’entrer dans le domaine de la cybercriminalité. Ce que nous pouvons dire sur foi de notre enquête concernant l’attaque menée contre la banque de Singapour, c’est que le criminel à l’origine de l’opération était loin d’être un hacker professionnel, et nous pensons que la plupart des ‘clients’ de la plateforme Adwind ont ce niveau de connaissances informatiques. C’est là une tendance inquiétante, » – commente Aleksandr Gostev, Chief Security Expert chez Kaspersky Lab.
« En dépit de nombreux rapports concernant différentes générations de cet outil, publiés ces dernières années par des fournisseurs de sécurité, la plateforme est toujours active et peuplée de criminels en tous genres. Nous avons mené cette recherche dans le but d’attirer l’attention de la communauté de la sécurité ainsi que des organismes chargés de l’application de la loi sur cette menace et de pouvoir prendre les mesures nécessaires afin de la démanteler complètement, » – indique Vitaly Kamluk, Director du Global Research & Analysis Team, APAC, chez Kaspersky Lab.
Source : Kaspersky Lab

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *