黑客與網絡犯罪分子的技術水平、創新能力以及身份隱匿效果正日益提升。
盡管各類操作系統的普及度不斷增長,網絡犯罪分子如今卻搶在時代之前將惡意活動由傳統方式轉移到更為隱密的層面,此類技術手段擁有無窮無盡的攻擊向量,能夠跨平臺起效并將檢測率有效降低。
安全研究人員們發現,由Java編寫而成且臭名昭著的跨平臺遠程訪問木馬Adwind已經再度興起。這一次,其被用于“針對航空航天行業內的從業企業,影響范圍則包括瑞士、奧地利、烏克蘭以及美國等多個國家。”
AdwindAdwind,也被稱為AlienSpy、Frutas、iFrutas、Unrecom、Sockrat、JSocket以及iRat等。早在2013年就開發完成,其能夠感染目前常見的一切操作系統類型,是一種跨平臺、多功能的惡意軟件程序,可以運行在任何支持Java平臺的環境中,能夠感染Windows、Mac、Linux以及Android等所有主要的操作系統。
Adwind擁有多種惡意攻擊能力,具體涵蓋竊取憑證、鍵盤記錄、截圖或截屏、數據收集與數據滲透等等。該木馬甚至能夠將受感染的設備轉化為僵尸網絡當中的肉雞,從而針對各類在線服務組織起極具破壞力的DDoS攻擊。
來自Trend Micro公司的研究人員們最近注意到,Adwind感染設備數量自2017年6月起突然激增,目前可確定的實例至少達11萬7649例,較上個月增長了107%。
主要存在場景根據近期發布的相關博文,該惡意活動被發現于兩類不同場景。
其一被發現于6月7日,該惡意軟件利用鏈接將受害者轉移至——其由.NET編寫且包含間諜軟件功能的惡意軟件處;
其二被發現于6月14日,利用多個不同域名托管其惡意軟件及其命令與控制服務器(C&C服務器)。
這兩波攻勢最終都采用了類似的社交工程策略,該郵件被偽造成由地中海游艇經紀人協會(簡稱MYBA)憲章委員會主席發出,以欺騙受害者點擊垃圾郵件中的惡意鏈接。一旦感染完成,該惡意軟件還會收集系統指紋以及已安裝的反病毒與防火墻應用列表。
研究人員們寫道,“Adwind還能夠執行反映操作,即Java當中的一種動態代碼生成方式。后者屬于Java中的一種實用功能,允許開發人員/程序員在運行時以動態方式對各屬性與類進行檢查、調用與實例化。在網絡犯罪分子手中,該功能則可用于回避傳統反病毒(簡稱AV)解決方案中的靜態分析機制。”
要避免被該惡意軟件影響,E安全建議大家警惕通郵件接收到的不速之“函”,同時絕不可在未經來源證實之前點擊文件中的任何鏈接。另外,請務必確保您的系統與反病毒產品得到及時更新,從而有效應對各類最新威脅。
京公網安備 11010502049343號