Campaña de spam descarga troyano para la industria aeroespacial

Investigadores en seguridad de TrendMicro han descubierto un nuevo troyano de acceso remoto (RAT/Remote Access Trojan) construido con Java al que han decidido llamar Adwind, que está afectando sobre todo a la industria aeroespacial de países como Suiza, Austria, Ucrania y Estados Unidos.

Adwind ha tenido otros nombres en el pasado, entre los cuales están AlienSpy, Frutas, jFrutas, Unrecom, Sockrat, JSocket y jRat. Esto es así debido a que se trata de un malware que lleva en desarrollo desde 2013, por lo se han lanzado distintas versiones a lo largo del tiempo. Por otro lado, al estar hecho con Java, se abre la puerta a que pueda causar daños en distintos sistemas operativos, entre los cuales están Windows, macOS (requeriría de la instalación de la máquina virtual de Java de Oracle), Linux (donde está OpenJDK por defecto, pero también se puede instalar el Java de Oracle) y Android (que usa su propia implementación de Java, Dalvik/ART).
Entre sus capacidades maliciosas, Adwind es capaz de robar credenciales, registrar las pulsaciones de teclado, tomar capturas de pantalla, además de reunir y filtrar datos. El troyano puede incluso convertir las máquinas que infecta en miembros de una botnet para lanzar ataques DDoS.

Trend Micro, descubridora del Adwind, ha avisado que el número de infecciones provocado por el malware ha subido de forma repentina durante el pasado mes de junio, llegando a las 117.649 en total. Esto supone un 107% más que en el mes anterior.
La campaña de malware estuvo compuesta por dos fases en el mes de junio, algo que explicaría el gran aumento en su impacto. La primera fase fue descubierta el 7 de junio y usaba un enlace malicioso para dirigir a las víctimas a un malware con capacidades de spyware escrito en .NET, mientras que la segunda fase fue detectada justo una semana después y en esta se usaba diferentes dominios para almacenar el malware y los servidores de mando y control. El enlace malicioso mencionado en este párrafo se encontraba incrustado en un email que suplantaba a Mediterranean Yacht Brokers Association.

Además de las capacidades de spyware, el malware escrito en .NET hace la función de downloader para Adwind, que está escrito en Java. Esto quiere decir que pesar de que Adwind puede infectar a distintos sistemas operativos, la exitosa campaña de difusión detectada en junio estaba dirigida a los usuarios de Windows.

Fuente: Muy Seguridad