「Windows」や「Mac OS X」、「Linux」、「Android」といったOSが稼働するマシンに影響を与える能力を持つ、悪名高いトロイの木馬の一種が再び流行し始めた。今回の攻撃は、世界の航空宇宙産業に狙いを定めている。
スパムメールを用いてリモートアクセス型のトロイの木馬「Adwind」に感染させようとする今回のキャンペーンは、主に米国やスイス、オーストリア、ウクライナを標的としている。Adwindは「AlienSpy」や「Frutas」「Unrecom」「Sockrat」「JSocket」「jRat」という名前でも流布している。
Adwindは2013年に登場して以来、ずっと活動を続けている。このマルウェアはバックドアを作成し、キーストロークの収集や、認証情報やデータの窃取、スクリーンショットの取得、動画や音声の記録などを含む、標的に対する包括的なスパイ活動を実施する。その後、これらのデータはすべて秘密裏に外部に送信される。また、このマルウェアは感染したマシンをBitcoin採掘用のボットネットに変えてしまうことでも知られている。
Adwindは2017年の初めにはほとんど活動が見られなかったが、6月に大規模なキャンペーンが開始され、航空宇宙産業関係の研究や設計、製造といった分野を標的として、このトロイの木馬を感染させるためのスパムメールが送信された。
Trend Microの研究者らは、Adwind関連のスパムメールを6月だけで11万7649通検出した。これは5月の検出数の倍以上であり、1月の22倍以上であるという。
2017年前半に検出されたAdwindの件数の推移
提供:Trend Micro
