به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، اینتروجان که با نام Adwind شناخته می‌شود، پیشتر صنایع مختلفی را در جهان هدف قرار داده بود و اکنون به toolkit جدیدی مجهز است تا بتواند از سیستم‌ها سوء استفاده کند.

در حملات جدید این بدافزار، سیستم‌های ویندوز، لینوکس و مک هدف قرار گرفته‌اند.

این تروجان که همچنین با نام‌های AlienSpy، JSocket و jRat نیز شناخته می‌شود قادر است اطلاعات رایانه و کلید‌های فشرده شده کاربران را جمع آوری کند و همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرم‌های وب را نیز به سرقت ببرد.

بدافزار Adwind همچنین قادر است ویدئو و صدا را ضبط کند، اسکرین‌شات بگیرد و فایل‌های سیستم را بدون اطلاع کاربران منتقل کند.

نسخه‌های جدیدتر این تروجان برای دسترسی به کیف پول مجازی در سیستم‌های آلوده اقدام به سرقت کلید‌های رمزنگاری می‌کند.

این تروجان که از طریق عملیات فیشینگ منتقل می‌شود حداقل با ۴۰۰ هزار حمله علیه کسب و کار‌ها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است.

در عملیات فیشینگ پیام‌های مخرب حاوی فایل‌های CSV و XLT (هر دو به صورت پیش‌فرض با نرم‌افزار اکسل باز می‌شوند) ارسال می‌شوند.

فایل‌های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می‌برند و از پسوند‌های مختلفی از جمله htm، xlt، xlc و db استفاده می‌کند.

پژوهشگران Cisco Talos می‌گویند که تکنیک جدیدی برای مبهم‌سازی در حملات بدافزار Adwind استفاده شده است تا برنامه‌های ضدویروس به اشتباه بیفتند و در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص می‌دهد.