{"id":7695,"date":"2016-02-08T16:42:38","date_gmt":"2016-02-08T16:42:38","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=7695"},"modified":"2020-06-30T16:11:44","modified_gmt":"2020-06-30T14:11:44","slug":"adwind-rat","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/adwind-rat\/7695\/","title":{"rendered":"Adwind, el malware como servicio, afecta a m\u00e1s de 400.000 usuarios en todo el mundo"},"content":{"rendered":"<p>En la <em>Security Analyst Summit<\/em> 2016 nuestro equipo de Investigaci\u00f3n y an\u00e1lisis global (<em>Global Research and Analysis Team<\/em> o <em>GReAT<\/em>, en ingl\u00e9s) ha publicado una amplia investigaci\u00f3n sobre la herramienta de acceso remoto (RAT) Adwind. Esta herramienta maliciosa tambi\u00e9n se conoce como AlienSpy, Frutas, Unrecom, Sockrat, JSocket o JRat. Se ha ido desarrollando durante varios a\u00f1os y distribuy\u00e9ndose a trav\u00e9s de una plataforma de <em>malware<\/em> como servicio, lo que significa que cualquier persona que pague una peque\u00f1a cantidad (de 25 a 300 d\u00f3lares) por el servicio, podr\u00e1 utilizar esta herramienta maliciosa en su beneficio.<\/p>\n<p>Nuestros investigadores descubrieron esta plataforma de <em>malware<\/em> durante un ataque dirigido a un banco de Singapur. El <em>malware<\/em> se introdujo con la forma de archivo Java malicioso adjunto en un correo electr\u00f3nico de <em>spear phishing<\/em> que recibi\u00f3 un empleado del banco. B\u00e1sicamente, se trata del t\u00edpico ejemplo de c\u00f3mo se puede distribuir este <em>malware<\/em>.<\/p>\n<p>Algunas de las caracter\u00edsticas de este <em>malware<\/em> captaron la atenci\u00f3n de los investigadores. En primer lugar, la capacidad de ejecutarse en m\u00faltiples plataformas: adem\u00e1s de Windows, tambi\u00e9n puede infectar a otros sistemas operativos como Linux, OS X y Android. Aunque Java no es la plataforma m\u00e1s com\u00fan para el <em>malware<\/em>, a\u00fan est\u00e1 considerada como la segunda mayor vulnerabilidad de seguridad y requiere un parcheo constante; la primera es sin duda el <em>plugin<\/em> de Flash de Adobe. Por otra parte, las aplicaciones de Java est\u00e1n dise\u00f1adas para que funcionen en cualquier sistema operativo. Esto hace que Java sea muy c\u00f3modo para el desarrollo de <em>malware<\/em> multiplataforma. Esta es b\u00e1sicamente la raz\u00f3n por la que Oracle <a href=\"https:\/\/en.wikipedia.org\/wiki\/Java_security\" target=\"_blank\" rel=\"noopener nofollow\">emplea gran parte de sus esfuerzos en la mejora de la seguridad de Java.<\/a><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">Ya hay fecha para la muerte del <a href=\"https:\/\/twitter.com\/hashtag\/plugin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#plugin<\/a> de <a href=\"https:\/\/twitter.com\/hashtag\/Java?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Java<\/a> <a href=\"https:\/\/t.co\/YBxXNnRPrp\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/YBxXNnRPrp<\/a>  via <a href=\"https:\/\/twitter.com\/adslzone?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@adslzone<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ciberseguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ciberseguridad<\/a> <a href=\"https:\/\/t.co\/lbJKk8H2bC\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/lbJKk8H2bC<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/694074023257444352?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 1, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>El segundo aspecto destacado acerca de este <em>malware<\/em> fue que no lo detectaban los programas antivirus.<\/p>\n<p>En tercer lugar, se trataba de un malware muy completo: entre sus funciones se incluye la capacidad de registrar las pulsaciones de teclado; el robo de las contrase\u00f1as almacenadas en la cach\u00e9, los certificados VPN y las claves de los monederos de criptomonedas; tomar capturas de pantalla; grabar v\u00eddeos, fotos y el sonido del micr\u00f3fono y la webcam del ordenador; recopilar informaci\u00f3n del usuario y del sistema; gestionar los SMS en el caso del sistema operativo de Android, etc. Por lo tanto, lo \u00fanico que limita a los criminales es su imaginaci\u00f3n y sus habilidades.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Shortlist of JSocket features. Only *short* list <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/9SYObtskbZ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/9SYObtskbZ<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/696714190359130112?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>En definitiva, se trata de una herramienta de espionaje multiplataforma muy poderosa. Tras la investigaci\u00f3n de la actividad del <em>malware, <\/em>nuestros investigadores llegaron a la conclusi\u00f3n de que la historia de Adwind es mucho m\u00e1s emocionante de lo que parec\u00eda al principio.<\/p>\n<p>Al parecer, este <em>malware<\/em> se ha ido desarrollando durante varios a\u00f1os y sus primeras apariciones se dieron ya en 2012. Ha recibido diferentes nombres a lo largo del tiempo: sus creadores lo denominaron como Frutas en 2012, como Adwind en 2013, Unrecom y AlienSpy en 2014 y en 2015 como JSocket.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">AlienSpy RAT Resurfaces as JSocket via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/5ZWmhpGiKm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/5ZWmhpGiKm<\/a> <a href=\"http:\/\/t.co\/koTpglGJjP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/koTpglGJjP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/635921635619524608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 24, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Los expertos de GReaT creen que un \u00fanico individuo est\u00e1 tras la plataforma de Adwind, y ha estado desarrollando nuevas caracter\u00edsticas y m\u00f3dulos durante al menos los \u00faltimos cuatro a\u00f1os. A pesar de todos los problemas de seguridad de Java, esta plataforma no fue creada para facilitar la vida de los cibercriminales, y el autor de Adwind ha tenido que sortear algunos obst\u00e1culos para que el <em>malware<\/em> funcione. Tambi\u00e9n es posible que esta persona haya subcontratado a alguien para que realice algunas de las tareas, pero todos sus esfuerzos parecen estar bien recompensados: seg\u00fan nuestros c\u00e1lculos, el servicio completo podr\u00eda generar unos ingresos de alrededor de 200.000 d\u00f3lares al a\u00f1o. Aun as\u00ed, debemos tener en cuenta que la \u00faltima versi\u00f3n del portal fue lanzada en el verano del 2015, por lo que el criminal puede que est\u00e9 esperando a\u00fan el dinero.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/06\/30161131\/adwind-live-photo.jpg<\/p>\n<p>En un principio la interfaz de la plataforma solo estaba disponible en espa\u00f1ol, pero m\u00e1s tarde se lanz\u00f3 tambi\u00e9n en ingl\u00e9s. Con esta actualizaci\u00f3n, Adwind fue reconocido a nivel mundial por todo tipo de cibercriminales, incluyendo a los estafadores que llevan a cabo fraudes avanzados, los comercios con competencia desleal, los mercenarios cibern\u00e9ticos contratados para espiar a personas y organizaciones. Tambi\u00e9n puede utilizarlo cualquier persona que quiera espiar a un conocido.<\/p>\n<p>La localizaci\u00f3n de las v\u00edctimas tambi\u00e9n ha cambiado durante estos a\u00f1os. En 2013, el foco estaba en los pa\u00edses \u00e1rabes y de habla hispana. Al a\u00f1o siguiente, los criminales dirigieron sus ataques a Turqu\u00eda e India, seguidos por los Emiratos \u00c1rabes, EE.UU. y Vietnam. En 2015 Rusia fue el centro de atenci\u00f3n, junto a los Emiratos \u00c1rabes, Turqu\u00eda, EE.UU. y Alemania. En la actualidad, Adwind se vende a cibercriminales de todo el mundo.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/06\/30161135\/map_03_02_16.png<\/p>\n<p>Por lo que sabemos, ha habido m\u00e1s de 443.000 v\u00edctimas en estos cuatro a\u00f1os. Tambi\u00e9n cabe destacar que hubo un gran pico de infecciones a finales de 2015. Desde agosto de 2015 a enero 2016, m\u00e1s de 68.000 usuarios recibieron <em>malware<\/em> Adwind RAT. Adem\u00e1s, en agosto de 2015, este <em>malware<\/em> se vio envuelto en un tema de espionaje cibern\u00e9tico. Al parecer, una de las soluciones de Adwind, la llamada AlienSpy, fue utilizada para espiar a un fiscal argentino <a href=\"http:\/\/motherboard.vice.com\/read\/malware-hunter-finds-spyware-used-against-dead-argentine-prosecutor\" target=\"_blank\" rel=\"noopener nofollow\">que fue encontrado muerto<\/a> en su apartamento, <a href=\"http:\/\/www.nytimes.com\/interactive\/2015\/02\/07\/world\/americas\/argentina-alberto-nisman-case.html?_r=0\" target=\"_blank\" rel=\"noopener nofollow\">bajo extra\u00f1as circunstancias<\/a>, en enero de 2015.<\/p>\n<p>http:\/\/twitter.com\/Securelist\/status\/696715862443737089\/photo\/1<\/p>\n<p>Los criminales que compraron y utilizaron el kit de Adwind, dirigieron sus ataques a individuos particulares y peque\u00f1as y medianas empresas de diferentes sectores, incluyendo: el sector de la producci\u00f3n, las finanzas, la ingenier\u00eda, el dise\u00f1o, la venta al por menor, el gobierno, los transportes y las telecomunicaciones, entre otros.<\/p>\n<p>Por ello, animamos a las empresas a que revisen el uso de la plataforma Java y que lo desactiven en todas las fuentes no autorizadas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el SAS 2016 nuestros expertos de GReAT hablaron sobre un malware multiplataforma basa-do en Java y utilizado por miles de cibercriminales con objetivos diversos.<\/p>\n","protected":false},"author":421,"featured_media":7697,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6,1324],"tags":[378,59,449,1025,154,696,1608,24,1601,1610,23],"class_list":{"0":"post-7695","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-amenazas","11":"tag-android","12":"tag-great","13":"tag-investigacion","14":"tag-java","15":"tag-linux","16":"tag-malware-como-servicio","17":"tag-os-x","18":"tag-sas-2016","19":"tag-thesas2016","20":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adwind-rat\/7695\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adwind-rat\/6655\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adwind-rat\/6731\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adwind-rat\/6647\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adwind-rat\/7428\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adwind-rat\/10804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adwind-rat\/11252\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adwind-rat\/5205\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adwind-rat\/5967\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adwind-rat\/6958\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adwind-rat\/10356\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adwind-rat\/10804\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adwind-rat\/11252\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adwind-rat\/11252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=7695"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7695\/revisions"}],"predecessor-version":[{"id":23071,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7695\/revisions\/23071"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/7697"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=7695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=7695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=7695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}