{"id":6958,"date":"2016-02-08T16:45:53","date_gmt":"2016-02-08T16:45:53","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6958"},"modified":"2022-07-18T18:51:28","modified_gmt":"2022-07-18T16:51:28","slug":"adwind-rat","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/adwind-rat\/6958\/","title":{"rendered":"Malware-as-a-Service Adwind trifft mehr als 400.000 Nutzer weltweit"},"content":{"rendered":"<p>Auf dem Security Analyst Summit 2016 hat unser globales Recherche und Analyseteam (GReAT) eine umfassende Studie \u00fcber das Remote Access Tool (RAT) Adwind ver\u00f6ffentlicht. Dieses b\u00f6sartige Tool ist auch bekannt unter den Namen AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat. Es wurde \u00fcber einen Zeitraum von mehreren Jahren entwickelt und wird nun \u00fcber eine Malware-as-a-Service-Plattform vertrieben \u2013 f\u00fcr einen kleinen Betrag (20\u2013265 EUR) kann somit jeder das b\u00f6sartige Tool f\u00fcr seine Zwecke verwenden.<\/p>\n<p>Unsere GReAT-Forscher haben die Malwareplattform nach einem gezielten Angriffsversuch auf eine Bank in Singapur aufgetan. Die Schadsoftware war in Form einer b\u00f6sartigen Java-Datei im Anhang einer Spear-Phishing-Mail an einen Mitarbeiter der betroffenen Bank verschickt worden \u2013 geradezu ein Paradebeispiel der Malwaredistribution.<\/p>\n<p>Einige Merkmale dieses Schadprogramms weckten besonderes Interesse bei den Forschern: Zun\u00e4chst einmal war die Malware f\u00fcr den Einsatz auf verschiedenen Plattformen konzipiert \u2013 abgesehen von Windows-, konnte sie auch Linux-, OS-X- und Android-Betriebssysteme infizieren. Obwohl Java keine typische Malwareplattform ist, stellt es dennoch \u2013 nach dem Flash-Plugin von Adobe \u2013 die zweitgr\u00f6\u00dfte Softwaresicherheitsl\u00fccke dar und ist auf laufende Sicherheitsaktualisierungen angewiesen. Java-Anwendungen laufen\u00a0grunds\u00e4tzlich auf jedem Betriebssystem. Das macht Java zur idealen Umgebung f\u00fcr diejenigen, die Malware f\u00fcr verschiedene Betriebssysteme entwickeln wollen. Oracle unternimmt daher <a href=\"https:\/\/de.wikipedia.org\/wiki\/Java-Technologie#Kritik\" target=\"_blank\" rel=\"noopener nofollow\">gro\u00dfe Anstrengungen, um Java sicherer zu machen<\/a>.<\/p>\n<p>Die zweite Auff\u00e4lligkeit der neu entdeckten Schadsoftware war, dass sie von keiner Antivirussoftware erkannt wurde.<\/p>\n<p>Dar\u00fcber hinaus war die Malware \u00fcberaus leistungsf\u00e4hig \u2013 die Liste m\u00f6glicher Funktionen ist schier endlos: Aufzeichnung von Tastatureingaben, Stehlen von im Cache gespeicherten Passw\u00f6rtern, VPN-Zertifikaten, Passw\u00f6rtern f\u00fcr Konten von Kryptow\u00e4hrungen, Bildschirmaufnahmen, Videoaufzeichnungen, Fotos und Audioaufnahmen \u00fcber das Mikrofon oder die Webcam des Computers, Aufzeichnung von Nutzerdaten und Systeminformationen, sowie Verwaltung von SMS (f\u00fcr Android). Cyberkriminelle waren in ihren M\u00f6glichkeiten lediglich durch ihre eigenen F\u00e4higkeiten und ihre Fantasie eingeschr\u00e4nkt.<\/p>\n<p>Kurz gesagt: es handelt sich um eine sehr m\u00e4chtige, plattform\u00fcbergreifende Spionagesoftware. Im Laufe der Nachforschungen \u00fcber den Einsatz der Malware kamen unsere Forscher zu dem Schluss, dass die Geschichte vom b\u00f6sartigen Toolkit Adwind weit spannender ist, als zun\u00e4chst angenommen.<\/p>\n<p>Es stellte sich heraus, dass die Schadsoftware seit mehreren Jahren fortw\u00e4hrend weiterentwickelt wird \u2013 die ersten Probeversionen reichen in das Jahr 2012 zur\u00fcck. Dabei hatte die Malware zu unterschiedlichen Zeitpunkten unterschiedliche Namen: 2012 tauchte sie erstmal unter dem Namen Frutas auf, 2013 hie\u00df sie Adwind, 2014 Unrecom und AlienSpy und 2015 wurde sie schlie\u00dflich JSocket genannt.<\/p>\n<p>Die Experten von GReAT vermuten, dass hinter der Adwind-Plattform ein einziger Entwickler steht, der seit mindestens vier Jahren unerm\u00fcdlich an der Entwicklung der Malware, sowie neuen Features und Modulen arbeitet. Trotz vorhandener Java-Sicherheitsl\u00fccken, musste der Entwickler der Adwind-Malware sich mit einigen Tricks behelfen, um seine Schadsoftware zum Laufen zu bringen. Zwar kann es sein, dass einige Aufgaben an externe Partner abgegeben wurden, aber der Arbeitsaufwand scheint durch die Eink\u00fcnfte gedeckt zu sein: unseren Berechnungen nach k\u00f6nnte die Malware-as-a-Service j\u00e4hrliche Einnahmen von 180.000 EUR einbringen. Allerdings ist die neueste Version des Portals erst seit Sommer 2015 online, so dass der Cyberkriminelle m\u00f6glicherweise noch auf das gro\u00dfe Geld wartet.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/03\/14181623\/adwind-live-photo.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/03\/14181623\/adwind-live-photo.jpg\" alt=\"\" width=\"1280\" height=\"840\" class=\"aligncenter size-full wp-image-28270\"><\/a><\/p>\n<p>Anfangs hatte die Plattform eine spanische Benutzeroberfl\u00e4che, aber mittlerweile ist sie auf Englisch verf\u00fcgbar. Mit diesem Update gelang Adwind weltweit der Durchbruch \u2013 Cyberkriminelle aller Sparten nutzen die Malware, unter ihnen Onlinebetr\u00fcger, unfaire Businesskonkurrenten und Cybers\u00f6ldner, die angeheuert werden, um Personen oder Unternehmen auszuspionieren. Kurzum, jeder, der jemand anderen ausspionieren m\u00f6chte, kann Adwind f\u00fcr seine Zwecke nutzen.<\/p>\n<p>Auch die geografische Verteilung der Opfer hat sich in den vergangenen Jahren ge\u00e4ndert. 2013 waren arabische und spanischsprachige L\u00e4nder unter Beschuss. Im darauffolgenden Jahr zielten Kriminelle auf die T\u00fcrkei und Indien ab, danach auf die Vereinigten Arabischen Emirate, die USA und Vietnam. 2015 war Russland an erster Stelle, gefolgt von den Vereinigten Arabischen Emiraten, der T\u00fcrkei, den USA und Deutschland. Dieser Wechsel kommt dadurch zustande, dass Adwind nun als Malware-as-a-Service von Cyberkriminellen auf der ganzen Welt gekauft und eingesetzt wird.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/03\/14152010\/map_03_02_16.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/03\/14152010\/map_03_02_16.png\" alt=\"\" width=\"2000\" height=\"1633\" class=\"aligncenter size-full wp-image-28262\"><\/a><\/p>\n<p>Soweit wir wissen, gab es in diesen vier Jahren mehr als 443.000 Opfer. Es ist au\u00dferdem zu erw\u00e4hnen, dass die Zahl der Infektionen Ende 2015 rapide angestiegen ist. Von August 2015 bis Januar 2016 waren mehr als 68.000 Nutzer der Adwind-Malware ausgesetzt. Dar\u00fcber hinaus tauchte der Name Adwind im August 2015 im Zusammenhang mit einer Cyberspionage-Geschichte auf: Es stellte sich heraus, dass eine der Adwind-L\u00f6sungen namens AlienSpy genutzt worden war, um einen argentinieschen Staatsanwalt auszuspionieren, der <a href=\"http:\/\/www.nytimes.com\/interactive\/2015\/02\/07\/world\/americas\/argentina-alberto-nisman-case.html?_r=0\" target=\"_blank\" rel=\"noopener nofollow\">unter mysteri\u00f6sen Umst\u00e4nden<\/a> im Januar 2015 <a href=\"http:\/\/motherboard.vice.com\/read\/malware-hunter-finds-spyware-used-against-dead-argentine-prosecutor\" target=\"_blank\" rel=\"noopener nofollow\">tot in seiner Wohnung aufgefunden<\/a> worden war.<\/p>\n<p>Kriminelle, die das Adwind-Kit kauften und zum Einsatz brachten, nahmen Privatpersonen, sowie kleine und mittelst\u00e4ndige Unternehmen verschiedener Branchen ins Visier: Produktion, Finanzwesen, Maschinenbau, Design, Einzelhandel, Regierung, Spedition, Telekommunikation und viele andere.<\/p>\n<p>Unternehmen raten wir daher dringend dazu, zu \u00fcberpr\u00fcfen ob eine Verwendung von Java unabdinglich ist und die Java-Nutzung f\u00fcr alle unberechtigten Quellen zu desaktivieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf der SAS 2016 berichten unsere Experten von GReAT von einer Java-basierten Multi-Plattform-Malware, die von hunderten Cyberkriminellen verschiedener Sparten genutzt wird<\/p>\n","protected":false},"author":421,"featured_media":6962,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6,2712],"tags":[1864,1865,55,274,1875,1866,1076,258,1870,1869,938,1873,34,1871,1874,1872,1860,1868,1859,1867,33],"class_list":{"0":"post-6958","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-adwind","11":"tag-alienspy","12":"tag-android","13":"tag-bedrohungen","14":"tag-fernzugriffssoftware","15":"tag-frutas","16":"tag-great","17":"tag-java","18":"tag-jrat","19":"tag-jsocket","20":"tag-linux","21":"tag-malware-as-a-service","22":"tag-os-x","23":"tag-rat","24":"tag-recherche","25":"tag-remote-access-tool","26":"tag-sas-2016","27":"tag-sockrat","28":"tag-thesas2016","29":"tag-unrecom","30":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adwind-rat\/6958\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adwind-rat\/6655\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adwind-rat\/6731\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adwind-rat\/6647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adwind-rat\/7695\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adwind-rat\/7428\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adwind-rat\/10804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adwind-rat\/11252\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adwind-rat\/5205\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adwind-rat\/5967\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adwind-rat\/10356\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adwind-rat\/10804\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adwind-rat\/11252\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adwind-rat\/11252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/adwind\/","name":"Adwind"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6958"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6958\/revisions"}],"predecessor-version":[{"id":29031,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6958\/revisions\/29031"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6962"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}