A finales de 2015, investigadores de Kaspersky Lab se dieron cuenta de un inusual programa de malware que había sido descubierto durante un intento de ataque dirigido contra un banco en Singapur.

El archivo es un JAR malicioso en un correo electrónico de spear phishing (ataques de phishing dirijidos), recibido por un empleado en el banco. Las grandes capacidades del malware, incluían la habilidad de ejecutarse en multiples plataformas así como de no ser detectado por ninguna solución antivirus, algo que capturó inmediatamente la atención de los investigadores.

Adwin RAT

La organización fue atacada con el RAT (Remote Administration Tool, herramienta de administración remota) Adwin, un backdoor disponible para su compra y escrito enteramente en Java, lo que lo hace multiplataforma. Se puede ejecutar en Windows, OS X, Linux y Android. Provee las capacidades de control de escritorio remoto, recopilación de información, exfiltración de datos y otras.

Si el usuario víctima abre el archivo JAR malicioso, el malware se instala automáticamente e intenta comunicarse con el servidor Command & Control. La lista de funciones del malware incluye:

• Recolección de pulsaciones del teclado
• Robo de contraseñas en caché y recolección de datos de formularios web
• Captura de pantalla
• Toma de fotos y video desde la webcam
• Grabación de sonido desde el micrófono
• Transferencia de archivos
• Robo de llaves de carteras de criptomonedas
• Administración de SMS (Android)
• Robo de certificados VPN

Aunque fue usado principalmente por atacantes oportunistas y distribuido masivamente en campañas de spam, hay casos donde Adwind fue usado en ataques dirigidos. En agosto de 2015 Adwind se hizo presente en las noticias relacionadas con ciberespionaje en contra de un fiscal argentino que fue encontrado muerto en enero de 2015. El incidente en contra del banco en Singapur fue otro ejemplo de ataque dirigido. Una mirada más profunda a los eventos relacionados al uso del RAT Adwind mostró que estos ataques dirigidos no fueron los únicos.

Objetivos de interés

Durante la investigación, los miembros de Kaspersky fueron capaces de analizar cerca de doscientos ejemplos de spear phishing organizados por criminales desconocidos para distribuir el malware Adwind y de identificar las industrias en las que la mayoría de los blancos trabajaba.

Los doscientos ejemplos de spear phishing observados durante seis meses, de agosto de 2015 a enero de 2016, mostraron a Adwin atacando a más de 68 mil usuarios. La distribución geográfica de los usuarios atacados por KSN durante este periodo muestra que casi la mitad de ellos (49 por ciento) estaban viviendo en Emiratos Árabes Unidos, Alemania, India, Estados Unidos, Italia, Rusia, Vietnam, Hong Kong, Turquía y Taiwan.

Basado en los perfiles de identificación de objetivos, Kaspersky cree que los clientes de la plataforma Adwin caen en las siguientes categorías: scammers que quieren pasar al siguiente nivel (usando malware para fraudes más avanzados), competidores injustos, cibermercenarios (espías contratados) e individuos privados que quieren espiar a sus conocidos.

Amenaza como servicio (as-a-Service)

Una de las funciones que distinguen al RAT Adwin de otras piezas de malware comerciales es que es distribuido como un sevicio de pago donde el "cliente" ofrece una cuota por el uso del programa malicioso. Basado en una investigación de la actividad de los usuarios en el tablero de mensajes interno y en otras observaciones, los investigaroes de Kaspersky estiman que hubo alrededor de 1 800 usuarios en el sistema a finales de 2015. Esto lo hace una de las plataformas de malware más grandes en la actualidad.

"La plataforma Adwin en su forma actual disminuye considerablemente el mínimo de conocimiento profesional requerido por un criminal para entrar al área del cibercrimen. Lo que podemos decir, basados en nuestras investigaciones del ataque en contra del banco de Singapur, es que el criminal detrás de ello estaba lejos de ser un hacker profesional, pensamos que la mayoría de los "clientes" de la plataforma Adwin tienen ese nivel de educación. Eso es una tendencia preocupante", dijo Aleksander Gostev, Jefe Experto de Seguridad de Kaspersky.