Adwind : la plate-forme de Malware as a Service qui a frappé plus de 400 000 victimes à travers le monde.



L'équipe GREaT de Kaspersky Lab a publié des recherches approfondies sur le RAT (Remote Administration Tool : outil d'administration à distance) Adwind, un malware multi plates-formes et multi fonctions également connu sous les noms AlienSpy,Frutas, Unrecom, Sockrat, JSocket et jRat, propagé par une même plate-forme de type MaaS (Malware as a Service). Selon les résultats de l'enquête menée entre 2013 et 2016, différentes versions du malware Adwind ont été utilisées dans des attaques contre au moins 443 000 particuliers, entreprises et organisations non commerciales à travers le monde. La plateforme et le malware sont toujours actifs.

La richesse fonctionnelle du malware et ses déclinaisons, notamment sa capacité à s'exécuter sur des plates-formes multiples (Java), ainsi que sa non-détection par toutes les solutions antivirus ont immédiatement attiré l'attention des chercheurs. Quelques-unes des possibilités offertes par la «console» :

  • Interception de frappes clavier
  • Vol de MDP cachés et collecte de données
  • Copies d'écran
  • Prises de vues (photos ou vidéos) avec la webcam
  • Enregistrement sonore via le micro
  • Transfert de fichiers
  • Collecte d'informations sur le système...
  • Vol de clés cryptomonétaires
  • Manipulation de SMS (sous Android)
  • Vol de certificats VPN

L'une des principales originalités du RAT Adwind par rapport à d'autres malwares commerciaux tient au fait qu'il est distribué ouvertement sous la forme d'un service payant (le « client » paye une somme en échange de l'utilisation du programme malveillant). D'après une étude de l'activité des « utilisateurs » sur le forum des hackers et d'autres observations, les chercheurs de Kaspersky Lab estiment le nombre de «clients» à environ 1800 vers la fin de 2015, ce qui en fait l'une des plus importantes plates-formes de malware aujourd'hui en service.

Téléchargez le rapport complet ici !