محققان امنیتی نمونهی جدیدی از تروجان مدیریتی راه دور Adwind را در پویشی جدید مشاهده کردهاند. این تروجان تلاش میکند در سیستمهای ویندوز، macOS و لینوکس به سازوکار پایداری برسد. در این حملات از نسخهی Adwind 3.0 استفاده شده و تروجان از حملهی تزریق کد DDE در مایکروسافت اکسل بهره میبرد. این پویش از ۲۶ آگوست شروع شده و عمدتا کاربران در ترکیه را هدف قرار داده و ۷۵ درصد از درخواستها از این کشور است. هرچند برخی از قربانیان نیز در آلمان قرار دارند. هرزنامهای که بار دادهی مخرب در آن ضمیمه شده، به زبان ترکیهای نوشته شده است.
مهاجمان برای نصب بار دادهی مخرب، حداقل از دو نصبکننده در قالبهای CSV و XLT استفاده کردهاند. با این حال هر دوی آنها از یک نوع حملهی جدید تزریق کد DDE استفاده میکنند که یکی از آنها تاکنون ناشناخته باقی بوده است. محققان اعلام کردند نصبکنندههای بدافزار میتوانند در قالب ۳۰ پسوند مختلف ارائه شوند. هرچند ممکن است برخی از این پسوندها بهطور مستقیم با مایکروسافت اکسل باز نشود ولی اسکریپتهایی وجود دارد که بهطور پیشفرض اکسل را برای اجرای این حمله راهاندازی میکنند.
اکسل به کاربر هشدار اجرای کد را نمایش میدهد. این هشدار به کاربر اطلاع میدهد که فایل موردنظر یک سند XLT واقعی نبوده و خراب است و در مورد باز کردن آن سوال میکند. دو هشدار دیگر به کاربر اطلاع میدهد که این سند برنامههای سیستمی را اجرا خواهد کرد. اگر کاربر هر ۳ هشدار را قبول کند، برنامهی ماشین حساب اجرا خواهد شد. هدف این پویش تزریق کدی است که بتواند یک اسکریپت ویژوال بیسیک را اجرا کند. پس از اجرای این اسکریپت نیز هدف نصب یکی از ابزارهای مایکروسافت با نام bitasdmin برای بارگذاری و نظارت بر پردازهها برای واکشیِ بار دادهی نهایی است.
بار دادهی نهایی یک فایل آرشیو جاوا است که با استفاده از Allatori Obfuscator نسخهی ۴٫۷ بستهبندی شده است. این بدافزار Adwind RAT v3.0 است که برای ایجاد سازوکاری برای ماندگاری در بسترهای ویندوز، macOS و لینوکس طراحی و پیکربندی شده است. گفتنی است ایجاد ماندگاری در بسترهای مختلف، متفاوت است. این تروجان توسط گروههای نفوذ مختلفی مورد استفاده قرار گرفته و برای اجرای هر نوع دستوری بر روی سیستم قربانی مانند کیلاگر بودن، اسکرینشات گرفتن و انتقال فایل به کار میرود.