Neue Angriffswelle durch Adwind

Eine neue Angriffswelle des Remote Access Tools Adwind läuft auch gegen deutsche Unternehmen. Bei den am häufigsten attackierten Ländern liegt Deutschland auf dem dritten Platz. Die Angriffe richteten sich gegen unterschiedlichste Industriezweige.

Die Opfer von Adwind erhalten E-Mails, die im Namen der HSBC Advising Service (von der Domain mail.hsbcnet.hsbc.com) verschickt werden und eine Zahlungsanweisung als Anhang enthält. Von dieser E-Mail-Domain ausgehende Aktivitäten können laut Kaspersky Lab bis in das Jahr 2013 zurückverfolgt werden.

Der Anhang enthält Malware, die sich, nachdem der anvisierte Nutzer den ZIP-Datei-Anhang (enthält eine JAR-Datei) geöffnet hat, selbst installiert und anschließend versucht, mit einem Command-and-Control-Server (C&C) zu kommunizieren. Die Malware ermöglicht den Angreifern fast die vollständige Kontrolle über kompromittierte Geräte sowie den Diebstahl vertraulicher Informationen auf den infizierten Computern.

Laut den Spezialisten von Kaspersky Security Network stammen die meisten Opfer aus Malaysia (5,05 Prozent), Großbritannien (4,84 Prozent) und Deutschland (4,63 Prozent). Auch gab es – allerdings weniger – Opfer in Österreich und der Schweiz.

Die Experten von Kaspersky Lab weisen darauf hin, dass aufgrund der hohen Anzahl attackierter Unternehmen, die Angreifer mit industriespezifischen Mailing-Listen arbeiten könnten. Berücksichtigt man die Anzahl der Entdeckungen, konzentrieren sich die Angreifer wohl eher auf breitangelegte und umfangreiche Attacken als auf ausgeklügelte Angriffe.

Cybersicherheit Spezialist Kaspersky Lab: Adwind Malware mit Vorgeschichte

Im Jahr 2016 veröffentlichte die Spezialisten von Kaspersky Lab Informationen über Attacken, die über das Adwind Remote Access Tool durchgeführt wurden. Es handelt sich dabei um ein plattformübergreifendes und multifunktionales Malware-Programm, das auch als AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat bekannt ist. Die Malware wird über eine einzige Malware-as-a-Service-Plattform verbreitet. Eine der Hauptfunktionen, die Adwind RAT kennzeichnet, ist die offene Verbreitung über Bezahldienste, bei denen der Kunde eine Gebühr für den Einsatz der Malware bezahlt.

Gemäß den Untersuchungen von Kaspersky Lab wurden zwischen 2013 und 2016 verschiedene Versionen der Adwind-Malware bei Attacken gegen mindestens 443.000 Privatnutzer, kommerzielle und nichtkommerzielle Organisationen weltweit eingesetzt.