Adwind远程访问木马命中公用事业部门

 
攻击者通过使用URL重定向到恶意负载的malspam广告系列，使用Adwind远程访问特洛伊木马(RAT)恶意软件攻击公用事业行业的实体。
Adwind(也称为jRAT，AlienSpy，JSocket和Sockrat)由其开发人员以恶意软件即服务(MaaS)模式分发给威胁参与者，并且能够逃避大多数主要反恶意软件解决方案的检测。
虽然Adwind Trojan设法避免某些反恶意软件解决方案的检测，但基于沙箱和行为的防病毒软件应该能够成功检测并阻止它。
针对家庭和企业用户
这使得其运营商能够成功地破坏目标计算机而不会引起怀疑，并通过窃取Chrome，IE和Edge等VPN证书和凭据等敏感信息来收集和解除受害者的击键，从而执行各种恶意任务。
Adwind RAT还可以录制视频和声音，以及使用受感染机器的网络摄像头拍摄照片，以及加密货币和收获加密货币钱包信息。
自2013年以来，Adwind一直在进行这一轮攻击，其中RAT针对数十万来自各行各业的个人和实体，包括金融，电信，软件，能源和政府等。
从之前检测到的分发它的恶意广告系列中，大多数攻击者在其目标系统上放弃Adwind最常使用的初始感染媒介是垃圾邮件，其中包含受感染的附件或将目标重定向到主要有效负载的链接。
恶意网址伪装成PDF附件
用于感染此特定活动的受害者的电子邮件发现在公用事业部门实体雇用的工作人员的收件箱中，在成功绕过公司的电子邮件网关后登陆那里。
它们通过Friary Shoes的受感染电子邮件帐户发送，该公司的服务器还用于存储Adwind恶意软件负载并将其传送到受害者的计算机。
“在电子邮件的顶部是一个嵌入式图像，它看起来像一个PDF文件附件，但实际上是一个嵌入式超链接的jpg文件，”Cofense研究人员发现了这个新的Adwind活动。