Startseite > Security > Untersuchung einer Malware-as-a-Service-Plattform

Kaspersky: Java-Malware Adwind greift Hunderttausende Ziele an

Untersuchung einer Malware-as-a-Service-Plattform

9. Februar 2016, 8:20 Uhr | LANline/wg

Adwind, vormals auch als Frutas oder Unrecom bekannt, ist ein Java-basiertes und damit plattformübergreifendes Schadprogramm, das über eine Malware-as-a-Service-Plattform verbreitet werden kann. Eine zwischen 2013 und 2016 von Kaspersky Lab durchgeführte Untersuchung zeigte: Die verschiedene Versionen der Adwind-Malware kamen bei Angriffen auf mindestens 443.000 Ziele zum Einsatz. Deutschland gehört zu den Top3-Zielländern. Plattform wie auch Malware sind noch aktiv, warnen die russischen Security-Experten.

Ende 2015 wurden die Experten von Kaspersky Lab auf ein Schadprogramm aufmerksam, das beim Versuch eines zielgerichteten Angriffs gegen eine Bank in Singapur entdeckt wurde. Ein Bankmitarbeiter erhielt eine Spear-Phishing-E-Mail (gezielt zugestellte E-Mail mit Schadcode) mit einer schädlichen JAR-Datei (Java Archive). Der Schädling, so berichtet Kaspersky Lab, verfüge über vielfältige Einsatzmöglichkeiten und sei von keiner Antivirenlösung entdeckt worden.

Es handelte sich um das käuflich erhältliche Fernzugriffswerkzeug (Remote Access Tool, RAT) Adwind. Öffnet ein Nutzer die JAR-Datei, so Kaspersky, installiere sich die Malware selbstständig, etabliere eine Backdoor und versuche, mit einem C&C-Server (Command and Control, Malware-Steuerungs-Server) zu kommunizieren.

Das Funktionsspektrum der Malware beschreiben die russischen Experten wie folgt:
•    Mitlesen von Tastaturanschlägen,
•    Diebstahl von im Cache gespeicherten Passwörtern sowie Abgreifen von Daten aus Webformularen,
•    Erstellen von Screenshots,
•    Aufnahme von Fotos sowie Videos per Webcam des Endgeräts,
•    Audioaufnahmen über dessen Mikrofon,
•    Übertragung von Daten
•    Sammeln allgemeiner System- und Nutzerinformationen,
•    Diebstahl von Schlüsseln für Wallets von Kryptowährung (Bitcoin etc.),
•    Verwaltung von SMS-Nachrichten (unter Android) sowie
•    Diebstahl von VPN-Zertifikaten.

Adwind findet laut den Sicherheitsforschern hauptsächlich für nicht-zielgerichtete Angriffe und innerhalb von Massen-Spam-Kampagnen Verwendung. Es gebe jedoch auch zielgerichtete Angriffe wie den oben genannten. So sei im August 2015 im Zusammenhang mit Spionage gegen einen argentinischen Staatsanwalt, der im Januar 2015 tot aufgefunden worden war, über Adwind berichtet worden.

Die Experten von Kaspersky Lab haben laut eigenen Angaben weitere zielgerichtete Angriffe und knapp 200 Spear-Phishing-Angriffe analysiert, die unbekannte Kriminelle organisiert hatten, um die Adwind-Malware zu verbreiten. Das Ergebnis der zwischen August 2015 und Januar 2016 beobachteten 200 Spear-Phishing-Fälle: Über 680.000 Nutzer seien den Adwind-Malware-Samples begegnet.

Fast die Hälfte (49 Prozent) der Angriffe seien in zehn Ländern erfolgt: Russland (16 Prozent), Vereinigte Arabische Emirate (sechs Prozent), Deutschland (ebenfalls sechs Prozent), zudem Türkei, USA, Italien, Vietnam, Hong Kong und Taiwan (siehe Bild). Malware-as-a-Service für jedermann

Eines der wichtigsten Merkmale, in dem sich Adwind von anderer kommerzieller Malware unterscheidet, ist laut Kaspersky Lab: Das Schadprogramm wird offen über einen Bezahldienst verbreitet, der Kunde zahlt für den Einsatz eine Gebühr. Bis Ende des Jahres 2015 habe man zirka 1.800 Nutzer in Verbindung mit Adwind bringen können. Es handelt sich dait um eine der derzeit größten Malware-Plattformen.

„Die aktuellen Adwind-Plattform ermöglicht potenziellen Kriminellen, mit einem Minimum an Fachwissen in die kriminelle Szene einzutauchen“, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Im Zusammenhang mit unseren Untersuchungen der Angriff auf die Singapurer Bank können wir sagen, dass der dahinter stehende Kriminelle weit davon entfernt war, ein professioneller Hacker zu sein. Wir gehen davon aus, dass die meisten ‚Kunden‘ der Adwind-Plattform etwa über dasselbe Computerwissen verfügen. Das ist ein besorgniserregender Trend.“

Diese Kunden der Adwind-Plattform kategorisiert Kaspersky Lab wie folgt:
•    Betrüger, die ein höheres Niveau ihrer betrügerischen Aktivitäten erreichen wollen,
•    unlautere Wettbewerber,
•    Söldner, die für Spionagezwecke angeheuert werden, aber auch
•    Privatpersonen, die andere Personen ausspionieren wollen.

Kaspersky Lab hat seine Erkenntnisse über die Adwind-Plattform den Strafverfolgungsbehörden gemeldet. Der Sicherheitsanbieter empfiehlt Organisationen, die Verwendung von Java zu überprüfen und sie für alle unautorisierten Quellen zu sperren.

Detaillierte Informationen finden sich unter securelist.com/blog/research/73660/adwind-faq/, eine historische Timeline der Adwind-Entwicklung stellt Kaspersky Lab bereit unter newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Adwind_timeline_vertical_final.png.