Adwind遠控當前被廣泛用於公共事業部門的攻擊活動中

攻擊者通過使用URL重定向到惡意有效負載的惡意垃圾郵件(malspam)活動，使用Adwind遠程訪問木馬(RAT)惡意軟體攻擊公用事業行業的實體。

Adwind（也稱為jRAT，AlienSpy，JSocket和Sockrat）由其開發人員以惡意軟體即服務（MaaS）模式分發給威脅參與者，並且能夠逃避大多數主流反惡意軟體解決方案的檢測。雖然Adwind Trojan設法避免某些反惡意軟體解決方案的檢測，但基於沙箱和行為的防病毒軟體應該能夠成功檢測並阻止它。

針對家庭和企業用戶

他允許其運營商在不引起懷疑的情況下成功入侵目標電腦，並且執行一系列惡意任務，並通過竊取Chrome，IE和Edge等VPN證書和憑據等敏感信息來收集和解除受害者的按鍵信息。Adwind RAT還可以錄製視頻和聲音，通過使用受感染機器的網路攝像頭拍攝照片，同時還能加密貨幣和收穫加密貨幣錢包信息。

自2013年以來，Adwind一直在進行這一輪攻擊，其中RAT針對數十萬來自各行各業的個人和實體，包括金融，電信，軟體，能源和政府等。從以前檢測到的惡意傳播活動來看，大多數攻擊者最常用的初始感染載體是垃圾郵件，這些郵件包含受感染的附件或鏈接，然後將目標重定向到主要有效負載的鏈接。

偽裝成PDF附件的惡意網址

在公用事業部門僱員的收件箱中發現了用於感染此次特定行動受害者的電子郵件，這些僱員在成功繞過這些公司的電子郵件網關後，進入了這些郵箱。這些郵件是通過Friary Shoes一個被泄露的電子郵件賬戶發送的，該公司的伺服器還被用來存儲Adwind惡意軟體的有效載荷，並將其發送到受害者的電腦上。

Cofense的研究人員發現:電子郵件的頂部是一個嵌入的圖片，看起來像一個PDF文件附件，但實際上是一個帶有嵌入超鏈接的jpg文件。當受害者點擊附件時，他們會被帶到感染網址hxxps://fletcherspecs[.]co[.]uk/，去下載初始有效負載。為了欺騙目標點擊偽裝成PDF附件的惡意鏈接，攻擊者使用以下電子郵件正文：附件是我們匯款通知的副本，您需要簽署並回復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！