Alertan sobre la existencia del malware Adwind

De acuerdo con los resultados del análisis llevado a cabo entre 2013 y 2016 por el Equipo de Análisis e Investigación de Kaspersky Lab (GREaT), se han utilizado diferentes versiones del malware Adwind en ataques contra al menos 443.000 usuarios particulares y organizaciones en todo el mundo. Este software malicioso, también conocido como AlienSpy, Frutas, Unrecom, Sockrat, JSocket y JRat, se distribuye a través de una plataforma de malware-as-a-service denominada Adwind RAT (Remote Access Tool).

En concreto, está escrito completamente en Java, lo que hace que sea multiplataforma y, por tanto, se pueda ejecutar en Windows, OS X, Linux y Android. De hecho, si el usuario abre el archivo JAR adjunto, el malware se auto-instala e intenta comunicarse con el servidor de comando y control. De esta forma, puede, entre otras acciones, recoger las pulsaciones de teclado, robar contraseñas almacenadas en caché y los datos de acceso de formularios web, hacer capturas de pantalla, transferir archivos, recopilar información general del sistema y del usuario, o robar certificados VPN.

Una de las características que diferencia a Adwind RAT de cualquier otro malware comercial es que se oferta abiertamente como servicio de pago, donde un “cliente” paga una cuota por el uso del programa malicioso. Según Kaspersky Lab, se estima que había unos 1.800 usuarios en el sistema a finales de 2015, lo que la convierte en una de las mayores plataformas de malware de la actualidad.

“En su estado actual, la plataforma Adwind rebaja significativamente el conocimiento requerido por un cibercriminal que quiera iniciarse en estos menesteres. Tras nuestra investigación, podemos concluir que el ataque al banco de Singapur fue llevado a cabo por un criminal que estaba lejos de ser un hacker profesional y creemos que la mayoría de los usuarios de la plataforma Adwind tienen ese mismo grado de conocimientos informáticos”, expone Aleksandr Gostev, director de expertos de seguridad de Kaspersky Lab.

A pesar de los esfuerzos de varios fabricantes de seguridad para erradicarla, de momento la plataforma sigue activa y es visitada por cibercriminales de todo tipo. En palabras de Vitaly Kamluk, director global de investigación & análisis de Kaspersky Lab en APAC, “hemos llevado a cabo esta investigación para llamar la atención de la comunidad de la seguridad, así como de las autoridades para que se tomen las medidas necesarias para eliminarla por completo”, explica.

Recomendaciones que te puedan interesar…

Ciberseguridad para pymes	Gestión de snapshots y replicación: qué tener en cuenta antes de comprar	Informe Penteo 2015: Highway to cloud
Predicciones 2016 para el centro de datos (IDC)	Cómo optimizar tu marketing con la regla del 5x5	Comprendiendo Internet de las Cosas
Cómo reducir costes a lo grande	10 cosas a tener en cuenta al comprar infraestructura hiperconvergente	Guía práctica para el diseño de una red SAN virtual