杀毒软件无法检测最新的Adwind木马

丹麦的一家网络安全公司Heimdal近期检测到一系列带有恶意附件的垃圾邮件,附件中是adwind木马(远程访问木马)的各种版本。

这场恶意攻击发生在上周末,Heimdal安全公司的专家认为攻击者的目标是丹麦的公司。

不考虑其初始状态,所有的垃圾软件都是用英文写的,所以只要攻击者在控制面板的某个设置里点击一个按钮,这些垃圾邮件就可以传播到其他国家。

通过java文件附件进行感染

Heimdal说所有的垃圾邮件都会带上一个文件名为Doc-[Number].jar的附件。使用VirusTotal进行病毒扫描之后的结果是无恶意病毒,但其实附件当中带有Adwind远程木马,而这一木马系列已经存在四年了。

Adwind木马第一次出现大众眼前是在2012年1月,当时的名字是Frutas,之后经历过几次更名,2014年2月改名为Unrecom,2014年10月改名为AlienSpy,最近一次改名是在2015年6月,改为JSocket。不过绝大多数的安全公司还是将其称为Adwind,因为它叫这个名字的时候造成的损失最大。

当局设法阻止了攻击者的操作之后,在2016年2月发表了一份Kaspersky报告,报告中说这款恶意软件背后的犯罪团伙将其工具箱卖给了1800个罪犯,最终导致了超过44.3万受害者的感染。

攻击者的目标是敏感的商业数据

攻击者开发这款恶意软件的目的就是侵入丹麦公司的计算机。

Adwind远程木马会在受感染的系统中为攻击者打开大门,之后攻击者就可以接管设备,搜索敏感信息,然后再通过各种路径将这些信息窃取出来。

所有的受感染计算机也会被添加到一个全球僵尸网络中去,这样会方便其他攻击者向受害者发送垃圾邮件或者是发动DDoS攻击(如果他们想的话)。Heimdal团队在最近一次攻击活动中检测到了11个C&C服务器。

Heimdal的Andra Zaharia解释道,“这些在线攻击者似乎将注意力转向了更有针对性的攻击,这样他们就不需要使用更多的设备。这也意味着可以用更少的资源投入获得更大的回报。”

“避免大规模撒网式攻击也意味着他们被发现的概率更小。这就让他们有了更多的时间可以控制受感染系统,获得更多的数据。”

攻击活动依然活跃,已现新版本Adwind木马

Zaharia告诉Softpedia说,“警报中的所有域依然是活跃状态,也都参与了最新一次的攻击行动。这些恶意C&C服务器使用各种动态DNS服务器供应,也都还在向各方报告。”

她补充道,“攻击活动现在正进行到关键时期,所以我们建议各家公司应该集中资源主动采取各项安全措施。与此同时别忘了最重要的一个环节,那就是员工教育。”

她还说,“在这些攻击中发现的这个Adwind版本与之前发现的那个版本略有改进。它具有沙箱逃脱和各种反调试器检查功能。总而言之,这是一个新版本,但还没有自己的名字。”