Más de 100 países atacados, entre ellos España, en una nueva oleada del malware Adwind. Las víctimas de Adwind reciben falsos correos electrónicos enviados a nombre del Servicio de Asesoramiento de HSBC (del dominio mail.hsbcnet.hsbc.com), con consejos de pago en el archivo adjunto. Entre 2013 y 2016, se han utilizado diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios privados, organizaciones comerciales y no comerciales de todo el mundo.
Kaspersky Lab ha detectado un nuevo ataque masivo de la herramienta de acceso remoto Adwind (RAT). Este backdoor multifuncional ya se ha utilizado en ataques contra más de 1.500 organizaciones en más de 100 países. Los ataques han impactado en diversos sectores industriales, incluyendo el retail y la distribución (20,1%), arquitectura y construcción (9,5%), transporte y logística (5,5%), seguros y servicios legales (5%) y consultoría (5%).
Las víctimas de Adwind reciben falsos correos electrónicos enviados a nombre del Servicio de Asesoramiento de HSBC (del dominio mail.hsbcnet.hsbc.com), con consejos de pago en el archivo adjunto. Según la investigación de Kaspersky Lab, la actividad de este dominio de correo electrónico se puede rastrear hasta 2013.
En lugar de las instrucciones, los archivos adjuntos contienen una muestra de malware. Si el usuario abre el archivo ZIP adjunto, que tiene un archivo JAR, el malware se auto instala e intenta comunicarse con su servidor de comando y control. El malware permite al ciberatacante obtener un control casi total sobre el dispositivo comprometido y robar información confidencial del equipo infectado.
La distribución geográfica de los usuarios atacados registrados por Kaspersky Security Network (KSN) durante este período muestra que casi la mitad de ellos (más del 40%) se localizan en los siguientes países: Malasia, Reino Unido, Alemania, Líbano, Turquía, Hong Kong, Kazajistán, Emiratos Árabes Unidos, México y Rusia. En España también hay organizaciones afectadas
Historia del malware Adwind RAT
En 2016, Kaspersky Lab informó de los ataques realizados con la Herramienta de Acceso Remoto de Adwind (RAT), un programa de malware multiplataforma y multifuncional también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y jRat, que se distribuye a través de una plataforma malware-as-a-service.
Una de las principales características que distingue a Adwind RAT de otros malwares es que se distribuye abiertamente en forma de un servicio de pago, donde el «cliente» abona una cuota para usar el programa malicioso.
Según los resultados de la investigación que se llevó a cabo entre 2013 y 2016, se han utilizado diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios privados, organizaciones comerciales y no comerciales de todo el mundo.
Para proteger las empresas frente a esta amenaza, Kaspersky Lab aconseja a las empresas a limitar el uso de Java a aplicaciones aisladas que son imposibles de ejecutar sin el uso de esta plataforma. De manera similar a las operaciones financieras, las aplicaciones Java pueden aislarse con los principios de seguridad que se les aplican. Las soluciones de Kaspersky Lab ofrecen una gran variedad de funciones de control de aplicaciones para establecer una política granular y supervisar y controlar el uso de aplicaciones específicas en puntos finales corporativos.
