A rosszindulatú program kiterjedt képességei – a több platformon való futtathatóság, valamint az a tény, hogy semmilyen vírusvédelmi megoldás nem mutatta ki – azonnal megragadták a kutatók figyelmét. Kiderült, hogy a szervezetet az Adwind RAT-tal támadták meg, egy hátsó ajtóval, amely megvásárolható és teljes mértékben Java-ban írták, ami többplatformossá teszi. Fut Windows, OS X, Linux és Android platformokon, és többek között távolról vezérelhető és adatokat gyűjt.
Ha a megcélzott felhasználók megnyitják a csatolt JAR fájlt, a rosszindulatú program telepíti önmagát, és megpróbál kommunikálni a parancs és vezérlő szerverrel. A malware az alábbi funkciókra képes:
• billentyűleütések összegyűjtése
• tárolt jelszavak ellopása és webes űrlapokról származó adatok elfogása
• képernyőképek készítése
• képek és videók készítése a webkamera segítségével
• hang felvétele a mikrofonnal
• fájlok átvitele
• általános rendszer és felhasználói információk összegyűjtése
• kriptovaluta tárcákhoz tartozó kulcsok ellopása
• SMS-ek kezelése (Android)
• VPN tanúsítványok lopása
A Kaspersky szakértői úgy vélik, hogy az Adwind használói az alábbi kategóriákba esnek: csalók, akik a következő szintre szeretnének lépni (malware-eket használnak a fejlettebb csalásokhoz), tisztességtelen versenytársak, kiberzsoldosok (bérelhető kémek), valamint magánszemélyek, akik szeretnének olyan emberek után kémkedni, akiket ismernek. Az Adwin használatához minimális IT-szakmai ismeretekre van csak szükség.
Tavaly augusztus és idén január között több mint 68 000 felhasználónál észleltek Adwind RAT vírusmintákat. Hogy megvédje magát és szervezetét ettől a fenyegetéstől, a Kaspersky Lab azt javasolja a nagyvállalatoknak, vizsgálják felül a Java platform használatát, és tiltsák le az ahhoz való összes jogosulatlan hozzáférést.
Leginkább az különbözteti meg ezt a vírust más kereskedelmi malware-ektől, hogy nyíltan terjesztik egy fizetős szolgáltatás formájában, s az ügyfél díjat fizet a rosszindulatú program használatáért. Még 2015 végén figyeltek fel a kutatók egy szokatlan rosszindulatú programra, melyet egy szingapúri bank ellen elkövetett célzott adathalász támadási kísérletnél fedeztek fel. Előtte, augusztusban az Adwin egy argentin ügyész elleni kiberkémedéssel kapcsolatban bukkant fel a hírekben - őt 2015 januárjában holtan találták.
