Trojan Adwind w „fakturach” z Meksyku

Phishingowe maile to nasza internetowa codzienność. Na szczęście przynajmniej te pisane w obcym języku, bądź pochodzące z egzotycznych krajów, coraz częściej „zapalają lampkę” w naszej głowie, coraz rzadziej wywołując automatyczne reakcje.

Powyższy przykład to klasyczny phishing na zaległą płatność. Jeśli nie współpracujemy z kontrahentami z Meksyku, jedyne dwie reakcje jakie może wywołać, to skasowanie go (absolutnie bez otwierania załącznika), a najchętniej – o co Was regularnie prosimy – także przesłanie go do nas, na adres cert.opl@orange.com.

Załącznik to nowa odmiana malware Adwind. Po kliknięciu załącznik okazuje się być plikiem w Javie (swift.jar). W momencie analizy był on rozpoznawany jedynie przez 3/60 silników antywirusowych. W kolejnym kroku ściąga w tle (bez świadomości użytkownika) faktyczny złośliwy plik, hxxp://agrartehnic.ro/TEST.exe (link jest już zablokowany dla klientów usług internetowych Orange Polska). Malware, również z relatywnie niskimi współczynnikem wykrycia (15/67) m.in. wykrada dane z przeglądarek, klientów pocztowych i oprogramowania FTP, a także zbiera dane o zainstalowanych aplikacjach.