Malware Adwind RAT ataca para robar información

02 Octubre 2019
Alto

Recientemente, se ha activado una nueva campaña que involucra al malware Adwind RAT que afecta principalmente a la industria petrolera estadounidense luego de haber tenido como objetivo las organizaciones minoristas y hoteleras.

Los ataques son dirigidas desde el dominio perteneciente a Westnet (ISP australiano), y se desconoce si es que el atacante es un cliente de Westnet o se han visto comprometidas las cuentas pertenecientes a sus clientes para poder distribuir el malware.

Los atacantes han utilizado una técnica de ofuscación multicapas, utilizando múltiples archivos JAR antes de desempaquetar el payload final del malware, y así poder evitar los sistemas de detección.

La finalidad de Adwind es poder encriptar y filtrar información, capturar imágenes de webcams, escanear en los directorios de discos duros para buscar ficheros con extensiones específicas, inyectar código malicioso en procesos legítimos y monitorear el sistema.

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #adwindrat #malware #windows #payload #jar


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.