Scoperta una nuova variante di Adwind jRAT

30/10/2019

Adwind jRAT malware

Dalle consuete attività di monitoraggio, il CERT-PA ha rilevato una nuova variante del trojan Adwind (RAT). La nuova versione è stata individuata quattro mesi fa ed è stata analizzata dai ricercatori di Menlo Security.

Adwind jRAT è un Trojan di accesso remoto che compromette il sistema operativo della vittima sfruttando Java ed è notoriamente difficile da rilevare anche in ambienti emulati come una sandbox.

La variante Adwind jRAT, a differenza delle precedenti versioni che in genere sono indipendenti dalla piattaforma, sembra essere specificatamente destinata a macchine Windows e applicazioni comuni, come Explorer e Outlook, nonché ai browser basati su Chromium. Il malware è quindi in grado di sottrarre credenziali e password salvate nel browser o in qualsiasi altra applicazione in esecuzione su Windows.

Come funziona

Nella nuova variante di Adwind jRAT è stato osservato l’offuscamento del file JAR iniziale, meccanismo che rende inefficace qualsiasi rilevamento statico basato sulla firma.

Naturalmente dopo un’attività di decodifica Adwind jRAT è in grado di decifrare il file di configurazione per ottenere un elenco di indirizzi IP afferenti l’infrastruttura di server C2. Tra questi ne viene selezionato uno quindi avviata una richiesta cifrata (AES) – tramite la porta TCP 80 – finalizzata a scaricare da remoto un set di file JAR aggiuntivi che attivano tutte le funzionalità del jRAT tra cui quelle preposte a catturare ed inviare le credenziali ad un server remoto.

Le informazioni carpite possono includere credenziali bancarie, personali o accessi alle app aziendali.

Il flusso di esecuzione ed attivazione del malware è di seguito rappresentato:

Come di consueto, il malware viene veicolato tramite una mail contenente un file allegato con estensione .jar che, se eseguito su un sistema vittima, inizia a decifrare la Class Header Qealler che procede a decifrare e caricare la Class Loader che a sua volta decifra e carica Initial Set Modules.

Identificazione

Quest’ultima variante del trojan Adwind jRAT è in grado di mascherare il suo comportamento agendo come qualsiasi altro comando Java. Senza la costruzione dinamica del file JAR iniziale non vi sono possibilità di realizzare una regola statica o una firma in grado di rilevare efficacemente il payload JAR iniziale, a maggior ragione se incluso nella moltitudine di comandi Java che entrano e escono dalla rete aziendale.

La nuova variante utilizza ulteriori tecniche atte ad impedire l’identificazione, questo elemento potrebbe variare per il prossimo periodo il trend di diffusione di Adwind jRAT, già noto per essere stato largamente utilizzato nel 2018 come il CERT-PA ha menzionato nella seguente notizia:

Indicatori di compromissione

Si riportano gli indicatori di compromissione di Adwind jRAT riferibili ad aventi di diffusione tra il giorno 27 e 29 ottobre 2019.
  • IoC (.txt) – Hash, Domini, IP.
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr.