DÉFINITION DU VIRUS
Type de virus : logiciel espion, menace persistante avancée, cheval de Troie, programme malveillant
Qu’est-ce qu’Adwind ?
Adwind RAT est un programme malveillant polyvalent et multiplateforme également connu sous de nom d’AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat, qui est diffusé via une seule et même plateforme de malware-as-a-service. L’une des principales caractéristiques qui distingue Adwind RAT des autres programmes malveillants commerciaux est le fait qu’il soit ouvertement distribué sous la forme d’un service payant, dans le cadre duquel le « client » paye un certain montant pour utiliser le logiciel malveillant. Il y avait environ 1 800 utilisateurs du système fin 2015. Cela fait d’elle l’une des plus importantes plateformes de programmes malveillants qui existent à l’heure actuelle.
De quoi est-il capable ?
Le programme est notamment capable d’effectuer les actions suivantes :
- recueillir les enregistrements des frappes du clavier
- dérober les mots de passe mis en cache et prélever des données à partir des formulaires Internet
- faire des captures d’écran
- prendre des photos et enregistrer des vidéos à partir d’une webcam
- enregistrer des sons à partir d’un microphone
- transférer des fichiers
- recueillir des informations générales relatives à l’utilisateur et au système
- dérober les clés des portefeuilles de cryptomonnaie
- gérer les SMS (pour Android)
- dérober les certificats VPN
Qui sont les victimes de leurs attaques ?
Entre 2013 et 2016, différentes versions du programme malveillant Adwind ont été utilisées dans le cadre d’attaques contre au moins 443 000 particuliers, organisations commerciales et non commerciales du monde entier.
Secteurs présentant un intérêt pour les attaques :
- Production / Fabrication
- Finance
- Ingénierie
- Conception
- Vente au détail
- Gouvernement
- Expédition
- Télécommunications
- Logiciels
- Formation
- Agroalimentaire
- Santé
- Médias
- Énergie
Est-ce que je cours un risque ?
Faites attention si vous travaillez dans les secteurs énumérés ci-dessus et si vous vous trouvez dans l’un des pays suivants : Émirats arabes unis, Inde, États-Unis, Italie, Russie, Vietnam, Hong Kong, Turquie et Taïwan. Vous faites partie du groupe courant le plus de risque.
Comment savoir si je suis infecté ?
Vous trouverez des indicateurs de compromission dans un article de blog publié sur le site Internet Securelist.
Comment puis-je me protéger ?
Afin de vous protéger vous et votre organisation contre cette menace, Kaspersky Lab encourage les entreprises à revoir le but de l’utilisation d’une plateforme Java et de la désactiver pour toutes les sources non autorisées. Pour assurer votre sécurité, veillez à utiliser des solutions de protection avancée contre les programmes malveillants comme Kaspersky Endpoint Security for Business. Sensibilisez-vous également à la cybersécurité afin d'être certain d'identifier des e-mails de phishing dans votre boîte de réception.