黑客與網(wǎng)絡(luò)犯罪分子的技術(shù)水平、創(chuàng)新能力以及身份隱匿效果正日益提升。
盡管各類操作系統(tǒng)的普及度不斷增長,網(wǎng)絡(luò)犯罪分子如今卻搶在時(shí)代之前將惡意活動由傳統(tǒng)方式轉(zhuǎn)移到更為隱密的層面,此類技術(shù)手段擁有無窮無盡的攻擊向量,能夠跨平臺起效并將檢測率有效降低。
安全研究人員們發(fā)現(xiàn),由Java編寫而成且臭名昭著的跨平臺遠(yuǎn)程訪問木馬Adwind已經(jīng)再度興起。這一次,其被用于“針對航空航天行業(yè)內(nèi)的從業(yè)企業(yè),影響范圍則包括瑞士、奧地利、烏克蘭以及美國等多個(gè)國家。”
AdwindAdwind,也被稱為AlienSpy、Frutas、iFrutas、Unrecom、Sockrat、JSocket以及iRat等。早在2013年就開發(fā)完成,其能夠感染目前常見的一切操作系統(tǒng)類型,是一種跨平臺、多功能的惡意軟件程序,可以運(yùn)行在任何支持Java平臺的環(huán)境中,能夠感染W(wǎng)indows、Mac、Linux以及Android等所有主要的操作系統(tǒng)。
Adwind擁有多種惡意攻擊能力,具體涵蓋竊取憑證、鍵盤記錄、截圖或截屏、數(shù)據(jù)收集與數(shù)據(jù)滲透等等。該木馬甚至能夠?qū)⑹芨腥镜脑O(shè)備轉(zhuǎn)化為僵尸網(wǎng)絡(luò)當(dāng)中的肉雞,從而針對各類在線服務(wù)組織起極具破壞力的DDoS攻擊。
來自Trend Micro公司的研究人員們最近注意到,Adwind感染設(shè)備數(shù)量自2017年6月起突然激增,目前可確定的實(shí)例至少達(dá)11萬7649例,較上個(gè)月增長了107%。
主要存在場景根據(jù)近期發(fā)布的相關(guān)博文,該惡意活動被發(fā)現(xiàn)于兩類不同場景。
其一被發(fā)現(xiàn)于6月7日,該惡意軟件利用鏈接將受害者轉(zhuǎn)移至——其由.NET編寫且包含間諜軟件功能的惡意軟件處;
其二被發(fā)現(xiàn)于6月14日,利用多個(gè)不同域名托管其惡意軟件及其命令與控制服務(wù)器(C&C服務(wù)器)。
這兩波攻勢最終都采用了類似的社交工程策略,該郵件被偽造成由地中海游艇經(jīng)紀(jì)人協(xié)會(簡稱MYBA)憲章委員會主席發(fā)出,以欺騙受害者點(diǎn)擊垃圾郵件中的惡意鏈接。一旦感染完成,該惡意軟件還會收集系統(tǒng)指紋以及已安裝的反病毒與防火墻應(yīng)用列表。
研究人員們寫道,“Adwind還能夠執(zhí)行反映操作,即Java當(dāng)中的一種動態(tài)代碼生成方式。后者屬于Java中的一種實(shí)用功能,允許開發(fā)人員/程序員在運(yùn)行時(shí)以動態(tài)方式對各屬性與類進(jìn)行檢查、調(diào)用與實(shí)例化。在網(wǎng)絡(luò)犯罪分子手中,該功能則可用于回避傳統(tǒng)反病毒(簡稱AV)解決方案中的靜態(tài)分析機(jī)制。”
要避免被該惡意軟件影響,E安全建議大家警惕通郵件接收到的不速之“函”,同時(shí)絕不可在未經(jīng)來源證實(shí)之前點(diǎn)擊文件中的任何鏈接。另外,請務(wù)必確保您的系統(tǒng)與反病毒產(chǎn)品得到及時(shí)更新,從而有效應(yīng)對各類最新威脅。