Троян використовується в глобальних фішингових кампаніях і націлений як на споживачів, так і на підприємства.
AlienSpy — остання в сімействі RAT, націлених як на споживачів, так і на підприємства, щоб викрасти цінні дані та зламати системи.
Трояни віддаленого доступу (RAT) ніколи повністю не зникають; натомість їх часто переробляють і переробляють у мінливому ландшафті кібербезпеки. Ці типи троянів, які часто розгортаються через фішингові кампанії, які використовують підроблені електронні листи та шкідливі файли для доставки шкідливих програм, можуть бути призначені для певних галузей, таких як банківська справа чи виробництво, або використовуватимуться без розбору як проти споживачів, так і підприємства.
В порада з безпеки (.PDF), опублікований у четвер, охоронна фірма Fidelis повідомила, що нещодавно виявлений троян AlienSpy зараз використовується в міжнародних фішингових кампаніях як проти споживачів, так і проти підприємств, хоча, як правило, було виявлено в кампаніях, заснованих на технології, фінансах, уряді та енергетиці секторах.
Приєднуючись до njRAT, njWorm і Houdini, розробка RAT зосереджується на доставці, а не на основних функціях. Однак AlienSpy відрізняється від своїх попередників. Незважаючи на подібність до Frutas, Adwind і Unrecom, охоронна фірма вважає, що нова RAT виграла від «уніфікованої» спільної розробки. В результаті троян стає більш досконалим і має розширену функціональність.
Наразі AlienSpy підтримує зараження на Windows, Linux, Mac OSX і мобільній операційній системі Android. Однак троян також демонструє нові методи ухилення, яких не було в минулих RAT.
Рекомендовані
- Чи Windows 10 надто популярна?
- 5 способів знайти найкраще місце для початку кар’єри
- Ось як генеративний ШІ змінить економіку концертів на краще
- 3 причини, чому я віддаю перевагу цьому Android за 300 доларів, ніж Pixel 6a від Google
Після розгортання троян на основі Java надає зловмиснику доступ і контроль над скомпрометованою системою. Зловмисне програмне забезпечення здатне збирати системну інформацію, включаючи версію ОС, дані оперативної пам’яті та ім’я комп’ютера, завантажувати та розгортати додаткові пакети зловмисного програмного забезпечення, записувати потоки веб-камери та мікрофона без згоди та дистанційно спостерігати за пристроєм діяльність. Крім того, троян містить кейлоггер.
Додаткові функції AlienSpy включають інструмент виявлення пісочниці, виявлення та вимкнення антивірусного програмного забезпечення та використання криптографічних протоколів безпеки транспортного рівня (TLS) для захисту свого з’єднання з командою та контролем (C&C) сервер.
«Застосування цієї техніки дуже ускладнює мережевим захисникам виявлення зловмисної активності з інфікованих вузлів на підприємстві. Щоб запобігти запуску різних інструментів безпеки, ця версія AlienSpy виконує різноманітні зміни ключів реєстру», — йдеться в повідомленні. «Заражені системи можуть отримати зловмисне програмне забезпечення бот-мережі, завантажене через AlienSpy RAT (наприклад, Citadel), як це спостерігали наші дослідники безпеки під час одного із заражень».
Так само, як і його попередники, AlienSpy доступний через різні моделі підписки та отримує постійні оновлення від своїх розробників. За словами Fidelis, AlienSpy можна придбати за ціною від 19,90 до 219,99 доларів.
«Підприємства повинні переконатися, що вони здатні виявляти вхідне зловмисне програмне забезпечення, а також активні зараження за участю цього RAT», — говорить Фіделіс.
Охоронна фірма також опублікувала правило Yara, щоб допомогти розробникам ідентифікувати та класифікувати штам шкідливого програмного забезпечення AlienSpy.
Читати далі: У світі безпеки
- Yahoo запускає вхід без пароля
- Федеральні органи на слідах хакерів JPMorgan
- EquationDrug: складна та прихована крадіжка даних протягом більше десяти років
- Дослідження Symantec висвітлюють збої безпеки в підключеному будинку
- Нова програма-вимагач CryptoLocker націлена на геймерів