«Лаборатория Касперского» обнаружила новые массовые заражения от Adwind Remote Access Tool (RAT). Этот многофункциональный бэкдор используется в атаках против более чем 1500 организаций в более чем 100 странах. Атаки были направлены на различные компании промышленного сектора, в том числе розничную торговлю и дистрибуцию (20,1%), архитектурные и строительные компании (9,5%), предприятия сферы грузоперевозок и логистики (5,5%), страхования и юридических услуг (5%), консалтинга (5%).
Жертвы Adwind получают электронные письма, отправленные от имени HSBC (из домена mail.hsbcnet.hsbc.com), с инструкцией по оплате в приложении. Согласно исследованиям «Лаборатории Касперского», активность этого почтового домена может быть прослежена до 2013 года. Вместо инструкций вложение содержит вредоносный код. Если целевой пользователь открывает вложенный ZIP-файл, который содержит файл JAR, вредонос самостоятельно устанавливается и пытается установить связь с командным сервером. Вредоносная программа позволяет злоумышленнику получить практически полный контроль над зараженным устройством и украсть конфиденциальную информацию с зараженного компьютера.
Географическое распределение атакованных пользователей, зарегистрированных в программе Kaspersky Security Network, показывает, что более 40% из них проживали в следующих десяти странах: Малайзия, Великобритания, Германия, Ливан, Турция, Гонконг, Казахстан, ОАЭ, Мексика и Россия.
Одной из главных особенностей, которая отличает Adwind RAT от других коммерческих вредоносных программ, является то, что она распространяется открыто в виде платной услуги, где "клиент" платит деньги за использование зловреда.
Чтобы защитить себя и свою организацию от этой угрозы, «Лаборатория Касперского» рекомендует предприятиям ограничить использование Java для отдельных приложений, которые невозможно выполнить без использования этой платформы.