Remote-Trojaner attackiert mehr als 400.000 Nutzer und Unternehmen

Kaspersky Lab warnt vor der plattformübergreifenden und multifunktionalen Malware Adwind. Der Fernzugriffstrojaner (Remote Access Tool, RAT) kann über eine sogenannte Malware-as-a-Service-Plattform käuflich erworben werden, so die Sicherheitsexperten.

Wie das Unternehmen in einer mehrjährigen Untersuchung jetzt herausgefunden hat, habe die Schadsoftware mindestens 443.000 Privatnutzer, aber auch kommerzielle und nicht-kommerzielle Organisationen attackiert. Sowohl die Plattform als auch Adwind selbst seien zudem immer noch aktiv. Kriminelle könnten auch ohne Fachkenntnisse die Malware einseten.

Nach eigenen Angaben wurden die Experten von Kaspersky Lab Ende vergangenen Jahres auf eine ungewöhnliche Schadsoftware aufmerksam, die sie bei dem Versuch einer zielgerichteten Attacke auf eine Bank in Singapur entdeckt hatten. Hierbei erhielt ein gezielt anvisierter Mitarbeiter der Bank eine Spear-Phishing-Mail, der eine schädliche JAR-Datei(Java Archive) angehängt war. Zu den am häufigsten attackierten Branchen gehörten neben der Finanzbranche auch der Einzelhandel, der Bildungsbereich, die Software-Branche sowie die Telekommunikationsbranche.

Die Sicherheitsforscher weisen jedoch darauf hin, dass Adwind hauptsächlich bei nicht-zielgerichteten Angriffen zum Einsatz kommt und eher im Rahmen von Massen-Spam-Kampagnen genutzt wird. Im Zuge ihrer Untersuchung konnten sie demnach rund 200 Spear-Phishing-Angriffe ermitteln und auswerten, die von unbekannten Kriminellen organisiert wurden, um die Adwind-Malware zu verbreiten.

Fast die Hälfte (49 Prozent) der durch das Kaspersky Security Network (KSN) festgestellten Angriffe im Zeitraum zwischen August 2015 und Januar 2016 konzentrierten sich zudem auf zehn konkrete Länder, darunter die USA, Italien, Russland, die Türkei und auch Deutschland.

Öffnet ein potenzielles Opfer die an die Phishing-Mail angehängte JAR-Datei, installiert sich Adwind Kaspersky Lab zufolge selbstständig und versucht eine Verbindung zu einem Command-and-Control-Server herzustellen. Das Gefährliche an dem Schädling seien vor allem dessen vielfältige Einsatzmöglichkeiten.

So könne die Malware nicht nur heimlich zusätzliche Schadsoftware über ihre Backdoor-Funktion nachladen und ausführen, sondern umfasse auch selbst ein großes Funktionsspektrum. Das beinhalte neben dem Sammeln allgemeiner System- und Nutzerinformationen unter anderem das Mitlesen von Tastaturanschlägen, den Diebstahl von im Browser-Cache gespeicherten Passwörtern sowie das Abgreifen von Daten aus Webformularen. Des Weiteren ist das Schadprogramm in der Lage, die zur Absicherung von Wallets, also der virtuellen Brieftaschen für Kryptowährungen wie Bitcoins, vorgesehenen Schlüssel zu entwenden.

Überdies ist das Erstellen von Screenshots sowie die Aufnahme von Videos über eine Webcam ebenso möglich wie Audioaufnahmen über ein Mikrofon. Selbst VPN-Zertifikate kann Adwind erbeuten. Die gesammelten Daten überträgt die Malware dann an den Kommandoserver. Neben seiner Funktionsvielfalt unterscheidet sich Adwind laut Kaspersky auch dadurch von anderen kommerziellen Schadprogrammen, dass es offen über einen Bezahldienst verbreitet wird und der “Kunde” für dessen Einsatz eine Gebühr entrichten muss. Die Malware-as-a-Service-Plattform, über die Adwind vertrieben werde, sei aktuell auch eine der größten ihrer Art.

“Die aktuelle Adwind-Plattform ermöglicht potenziellen Kriminellen, mit einem Minimum an Fachwissen in die cyberkriminelle Szene einzutauchen”, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. “Im Zusammenhang mit unseren Untersuchungen der Attacke auf die Singapurer Bank können wir sagen, dass der dahinter stehende Kriminelle weit davon entfernt war, ein professioneller Hacker zu sein. Wir gehen davon aus, dass die meisten ‘Kunden’ der Adwind-Plattform etwa über dasselbe Computerwissen verfügen. Das ist ein besorgniserregender Trend”, erklärt Gostev weiter.

Basierend auf den Profilen der ermittelten Zielobjekte gehen die Kaspersky-Forscher außerdem davon aus, dass die Kunden der Adwind-Plattform unter anderem unlautere Wettbewerber und sogenannte “Cybersöldner” sind, die eigens für Spionagezwecke angeheuert wurden. Darunter fielen aber auch Privatpersonen, die andere Personen schlicht ausspähen wollten.

Kaspersky Lab hat seine Erkenntnisse über die Adwind-Plattform nach eigenen Angaben bereits den zuständigen Strafverfolgungsbehörden gemeldet. Die Schadsoftware selbst ist auch unter den Namen AlienSpy, Frutas, Unrecom, JSocket und jRAT bekannt. Unternehmen und Organisationen empfiehlt der Sicherheitsanbieter, den Einsatz der Java-Plattform zu überprüfen und sie für alle unautorisierten Quellen zu sperren.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.