Unter Umständen scheitern Sicherheitsanwender mit einer verhaltensbasierten Erkennung. Mehrfach gepackte Archive und Verschlüsselungen hebeln außerdem Sicherheitsdefinitionen aus. Derzeit nimmt Adwind nur Windows-Systeme sowie Internet Explorer, Outlook und Chromium-Browser ins Visier.
Eine neue Variante des Remote-Access-Trojaners (RAT) Adwind haben Forscher von Menlo Security entdeckt. Die als AlienSpy und jRAT bekannte Schadsoftware, die seit 2013 ihr Unwesen treibt, kommt mit einer neuen Technik, die Ihre Erkennung erschweren soll. Um ihre schädlichen Aktionen zu tarnen, nutzt sie legitime Java-Befehle.
Adwind wird bevorzugt von Cyberkriminellen eingesetzt, die Anmeldedaten stehlen oder ihre Opfer abhören sowie deren Tastatureingaben aufzeichnen wollen. Oftmals wird sie über Phishing-E-Mails für verschiendene Betriebssysteme eingesetzt, schädliche Websites oder kompromittierte Software Downloads verbreitet.
Bisher beschränkt sich die neue Variante indes auf Windows beziehungsweise gebräuchliche Windows-Anwendungen wie Internet Explorer, Outlook und auf Chromeium basierende Browser wie Brave. Um einer Erkennung durch signaturbasierte Sicherheitsanwendung zu entgehen, wird sie über Java-Archive (JAR) verteilt, mehrfach gepackt und verschlüsselt.
Wird jedoch eine enthaltene Liste mit Befehlsservern entpackt, wird Adwind aktiviert und ist in der Lage, Befehle zu empfangen und gestohlene Daten an die Hintermänner zu übermitteln – hierzu zählen Logins für Geschäftliche Anwendungen, Anmeldedaten für Online-Banking und in Browsern gespeicherte Kennwörter.
Ungestört kann ein Trojaner die Aktionen ausführen, da er legitime Java-Befehle nutzt. Augenscheinlich verhält sich Adwind gegenüber einer Sicherheitsanwendung wie eine legitime Java-App. Die Adwind-Entwickler verstecken zu diesem Zweck schädliche JAR-Dateien zwischen einer Vielzahl von legitimen Java-Anwendungen. Zudem verhindern Verschlüsselungen die eigendliche Herkunft eines Java-Befehls.
„Es ist, als würden man durch eine Menge von einer Millionen Menschen waten und versuchen, die eine Person auszuwählen, die ein grünes Unterhemd trägt, ohne unter die Jacke eines Menschen schauen zu können. Es gibt nichts Verdächtiges an seinem Aussehen oder gar seinem ursprünglichen Verhalten. Alles scheint normal zu sein,“ sagte Sicherheitsforscher Krishnan Subramamian, von Menlo Labs.
Allerdings lässt der Trojaner für eine Funktion die Maske fallen: für den Versand gestohlener Daten werden Befehle benutzt, die in keinem Zusammenhang zu Java stehen. Jedoch hat der Schädling zu diesem Zeitpunkt seine Aufgabe erfüllt. Der Forscher rät Unternehmen, Web- und E-Mail-Traffic genau zu überwachen. „Diese jRAT-Dateiname scheint ein Muster zu haben, indem sie gängige Finanzbegriffe wie, Überweisung, Zahlung und Beratung verwenden. Es ist immer eine gute Idee, den Dateinamen einer Java Anwendung zu überprüfen, bevor man sie aufruft.“