In der Vergangenheit gab es schon immer Angebote im Netz, Würmer, Trojaner und andere Malware zu erwerben. Nun sind selbst Sicherheits-Experten erstaunt, mit welcher Dreistigkeit nun eine eigene Plattform wirbt. Zur Auswahl stehen Abonnement-Optionen für Windows, Linux, Mac und Android.
Kaspersky-Forscher haben eine dieser Plattformen aufgedeckt, über die das Adwind Remote Access Tool (RAT), auch bekannt unter AlienSpy, Rutas, Unrecom, Sockrat, JSocket und jRat angeboten wurde. Über 400.000 User wurden mit der Malware attackiert, viele auch in Deutschland und den USA.
Variables Abo-Modell
Laut Kaspersky wurden sechs Abonnements von "Basic" bis "Ultimate" angeboten. Der Einsteigertarif kostet 25 Dollar und erlaubt die Nutzung der Malware für 15 Tage, das Jahresabo kostet 300 Dollar. Mit dem Malware-Tool, das rein Java-basiert ist und daher für Virenscanner kaum bzw. nur schwer zu entdecken war, konnten Angreifer nicht nur Dateien vom infizierten Computer abziehen, sondern auch Passwörter aus Browsern, Outlook, Messenger-Programmen und Download-Manager stehlen.
Darüber hinaus können per Keylogger Tastatureingaben mitverfolgt werden, das Tool erkennt, ob Sicherheitssoftware installiert ist und schneidet den Videofeed inklusive Ton der Webcam mit. Auf Android kann der Versand und Empfang von SMS sowie die Installation von Programmen torpediert bzw. verändert werden. Kaspersky zufolge könnte die Plattform von nur einem einzigen Individuum betrieben werden, der aus dem Service etwa 200.000 Dollar pro Jahr generiert. Die aktuellste Version der Abo-Plattform stammt aus dem Sommer 2015, die Malware selbst geht auf das Jahr 2011 oder 2012 zurück.
Weltweite Attacken
Im Focus der Angreifer stehen vor allem Banken, aber auch Fabriken, Behörden, Telkos und kleinere Unternehmen. Allein in den letzten sechs Monaten entdeckte Kaspersky 68.000 User, bei denen Adwind RAT im System zu finden war. Die ursprüngliche Infektion erfolgt meist über E-Mail, indem User auf ein verpacktes .JAR-File klicken, das sich meist als Datei mit .DOC- oder .RTF-Endung tarnt. Die Opfer der Abonnement-Attacken sind in Russland, den USA, Deutschland, Italien, der Türkei, Indien und den Vereinigten Arabischen Emirate zu finden.
