Kaspersky Lab segnala un nuovo cyber-attacco a livello globale condotto dal Remote Access Tool (RAT) Adwind.
Questa backdoor multifunzionale è stata usata in attacchi contro oltre 1.500 aziende in più di 100 Paesi e territori. Gli attacchi hanno colpito diversi settori, tra cui retail e distribuzione (20,1%), architettura ed edilizia (9,5%), spedizioni e logistica (5,5%), assicurazioni e servizi legali (5%), e consulenza (5%).
Le vittime di Adwind ricevono email inviate a nome di HSBC Advising Service con avvisi di pagamento in allegato. Secondo Kaspersky, l’attività di questo dominio email può risalire al 2013.
Gli allegati contengono il sample del malware, che si auto-installa e prova a comunicare con il proprio server command & control quando l’utente apre il file ZIP in allegato. Il malware consente un controllo quasi completo del dispositivo, nonché di rubare informazioni confidenziali dal computer infetto.
La distribuzione geografica degli utenti colpiti, rilevata da Kaspersky Security Network (KSN) durante questo periodo, mostra che quasi la metà viveva in Paesi come Russia, Germania, Turchia, Hong Kong, UK, Messico, Libano, Malaysia e Emirati Arabi Uniti.
Le vittime comprendono soprattutto aziende, e i criminali potrebbero usare mailing-list di settori specifici per i propri attacchi. Considerando il numero di rilevazioni, i criminali si sono focalizzati sulla dimensione dell’attacco, piuttosto che sull’uso di tecnologie sofisticate.