Adwind؛ یکی از عجیب‌ترین بدافزارهایی که تاکنون وجود داشته است

در پایان سال ۲۰۱۵ محققان شرکت کسپرسکی از یک برنامه‌ی بدافزاری نامعمول اطلاع پیدا کردند که این بدافزار در حین تلاش برای حمله‌ی هدف‌مند به بانکی در سنگاپور کشف شد. یک پرونده‌‌ی JAR آلوده به یک رایانامه‌ی اسپیر-فیشینگ ضمیمه شده بود که از سوی کارکنان بانک مورد حمله دریافت می‌شد. قابلیت فوق‌العاده‌ی این بدافزار این بود که توانایی اجرا بر روی چندین سامانه‌‌ی مختلف را داشت به علاوه‌ی این واقعیت که توسط هیچ‌کدام از ضدبدافزارهای موجود کشف نمی‌شد و همین امر موجب شد تا توجه محققان را به خود جلب کند.

Adwind RAT
معلوم شد که این سازمان توسط بدافزار Adwind RAT مورد حمله قرار گرفته است، بدافزاری که در حقیقت یک در پشتی است که مورد خرید و فروش قرار گرفته و به زبان جاوا نوشته شده است و دارای قابلیت اجرا در چند سامانه‌ی عامل مختلف است. این بدافزار می‌تواند در سامانه‌‌‌های عامل‌ ویندوز، OS X، لینوکس و اندروید اجرا شود و قابلیت کنترل از راه دور رومیزی (دسکتاپ)، جمع‌آوری اطلاعات و سرقت داده‌ها را فراهم کند.
اگر کاربر مورد هدف پرونده‌ی‌ JAR ضمیمه‌شده را باز کند، این پرونده‌ به صورت خودکار نصب شده و تلاش می‌کند تا با کارگذار کنترل و فرمان‌دهی خود ارتباط برقرار کند. این بدافزار دارای توانایی‌هایی است که شامل این موارد می‌شود:
– جمع‌آوری کلیدها
– سرقت گذرواژه‌های ذخیره‌شده در حافظه‌ی نهانی یا کش و گرفتن داده‌ها از فرم‌های وب
– گرفتن تصویر از صفحه‌نمایش
– دریافت تصاویر و ضبط ویدئو از وب‌کم
– ضبط صدا از میکروفن
– انتقال پرونده‌‌ها
– جمع‌آوری اطلاعات عمومی کاربران و سامانه‌
– سرقت کلیدهای کیف‌های پول رمزگذاری‌شده
– مدیریت پیام‌های متنی (در اندروید)
– سرقت گواهی‌نامه‌های VPN

در حالی‌که این بدافزار عمدتاً توسط مهاجمان فرصت‌طلب استفاده شده و توسط حملات وسیع هرزنامه‌ها توزیع می‌شد، مواردی نیز بود که Adwind در حملات هدف‌مند استفاده شد. در آگوست سال ۲۰۱۵ اخباری منتشر شد مبنی بر این‌که Adwind در عملیات جاسوسی سایبری علیه دادستان آرژانتین که در ژانویه‌ی ۲۰۱۵ درگذشته بود، یافت شده است. حادثه‌ی پیش‌آمده علیه بانک سنگاپور نیز یک نمونه‌ی دیگر از حملات هدف‌مند این بدافزار است. یک نگاه عمیق‌تر به وقایع مربوط به استفاده از Adwind RAT نشان داد که این حملات هدف‌مند تنها در این‌گونه موارد به کار نرفته‌اند.

اهداف مورد علاقه
محققان آزمایشگاه کسپرسکی در طول تحقیقات خود قادر بودند تا نزدیک به ۲۰۰ مورد از حملات اسپیر-فیشینگ را مورد تحلیل قرار دهند که به وسیله‌ی مجرمانی ناشناخته برای گسترش بدافزار Adwind انجام شده بود و توانستند صنایعی را که بیشترین مورد از اهداف را شامل می‌شدند،‌ شناسایی کنند.
این ۲۰۰ نمونه از حملات اسپیر-فیشینگ در ظرف شش ماه از آگوست سال ۲۰۱۵ تا ژانویه‌ی ۲۰۱۶ صورت گرفته بود که منجر شد تا این بدافزار با بیش از ۶۸۰۰۰ کاربر مواجه شود. توزیع جغرافیایی کاربرانی که مورد حمله قرار گرفته بودند و توسط این شرکت ثبت شده بودند، نشان می‌دهد که در این دوره تقریباً نیمی از آن‌ها (۴۹ درصد) در این ده کشور زندگی می‌کرده‌اند: امارات متحده‌ی عربی، آلمان، ‌هند، آمریکا،‌ ایتالیا، روسیه،‌ ویتنام، هنگ‌کنگ، ترکیه و تایوان.
محققان شرکت کسپرسکی براساس پرونده‌‌های اهداف شناسایی‌شده، بر این باور هستند که مشتریان بدافزار Adwind به این مقوله‌های طبقه‌بندی می‌شوند: کلاه‌بردارانی که می‌خواهند به سطح بالاتری حرکت کنند (با استفاده از این بدافزار کلاه برداری‌های پیشرفته‌تری را انجام دهند)، رقیبان بدخواه شرکت‌ها، مزدوران سایبری (جاسوسانی که استخدام می‌شوند) و افراد شخصی که می‌خواهند در مورد مردمی که می‌شناسند جاسوسی کنند.

تهدید به عنوان سرویس
یکی از ویژگی‌های اصلی بدافزار Adwind RAT که آن را از سایر نرم‌افزارهای مخرب تجاری متمایز می‌کند این است که این بدافزار آشکارا به عنوان سرویس پرداخت توزیع می‌شود که در آن «مشتری» هزینه‌ای را در قبال استفاده از برنامه‌ی مخرب پرداخت می‌کند. براساس بررسی فعالیت کاربران در پیام‌های ارسالی درونی آن‌ها و برخی دیگر از مشاهدات، محققان کسپرسکی برآورد کرده‌اند که حدود ۱۸۰۰ نفر تا پایان سال ۲۰۱۵ درون این سامانه‌ قرار دارند. این موضوع نشان می‌دهد که این سامانه، یکی از بزرگ‌ترین سامانه‌های مخرب بدافزار موجود تا به امروز بوده است.
الکساندر گوستِو، کارشناس ارشد امنیت آزمایشگاه کسپرسکی می‌گوید: «سامانه‌ی Adwind در وضعیت کنونی خود به طور مؤثری حداقل میزان دانش حرفه‌ای لازم برای مجرمان بالقوه را برای ورود به حوزه جرایم رایانه‌ای پایین می‌آورد. آن چه که ما براساس تحقیقات خود در مورد حمله به بانک سنگاپور می‌توانیم بگوییم این است که مجرمان پشت این حمله بسیار با نفوذگران حرفه‌ای متفاوت بوده‌اند و ما فکر می‌کنیم که بیشتر «مشتریان» این سامانه‌ی بدافزاری نیز از سطح پایینی از دانش رایانه‌ای برخودار باشند. این یک روی‌کرد نگران‌کننده است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.