skip to Main Content

Cybercrime, campagna per diffondere una nuova versione di Adwind jRAT

Cybercrime, Campagna Per Diffondere Una Nuova Versione Di Adwind JRAT

Il CERT-PA: Il cybercrime sta diffondendo una nuova versione di Adwind jRAT, un trojan di accesso remoto, via mail. La variante sembra destinata ai sistemi Windows, alle applicazioni comuni e a Chromium

Il cybercrime sta diffondendo una nuova variante di Adwind jRAT. Lo hanno rilevato gli esperti di cyber security del CERT-PA, ricordando che questa è stata scoperta dai ricercatori di Menlo Security. Il malware è un è un trojan di accesso remoto, che compromette il sistema operativo della vittima sfruttando Java ed è notoriamente difficile da rilevare anche in ambienti emulati come una sandbox. La nuova variante, a differenza delle precedenti versioni che in genere sono indipendenti dalla piattaforma, sembra essere specificatamente destinata a sistemi Windows e applicazioni comuni, come Explorer e Outlook, nonché ai browser basati su Chromium. Il codice malevolo è quindi in grado di sottrarre credenziali e password salvate nel browser o in qualsiasi altra applicazione in esecuzione su Windows. Come di consueto, il malware viene veicolato tramite una mail contenente un file allegato con estensione .jar.

Come funziona il malware

Secondo gli esperti di cyber security, nella nuova variante di Adwind jRAT è stato osservato l’offuscamento del file JAR iniziale, meccanismo che rende inefficace qualsiasi rilevamento statico basato sulla firma. Il malware, dopo un’attività di decodifica, è in grado di decifrare il file di configurazione per ottenere un elenco di indirizzi IP afferenti l’infrastruttura di server C2. Tra questi ne viene selezionato uno quindi avviata una richiesta cifrata (AES) – tramite la porta TCP 80 – finalizzata a scaricare da remoto un set di file JAR aggiuntivi che attivano tutte le funzionalità del jRAT tra cui quelle preposte a catturare ed inviare le credenziali ad un server remoto. Le informazioni carpite dal cybercrime possono includere credenziali bancarie, personali o accessi alle app aziendali. Peraltro, il trojan è in grado di mascherare il suo comportamento agendo come qualsiasi altro comando Java. Inoltre, utilizza ulteriori tecniche atte ad impedire l’identificazione.

Back To Top