تروجان AlienSpy تهدیدی جدید برای مشتریان و شرکتها
به تازگی یک تروجانِ دسترسی از راه دور - که عموما RAT خوانده میشوند - کاربران سازمانها و مشتریان را مورد هدف قرار داده است. این RAT بر اساس جاواست و چندسکویی (multiplatform) بوده و AlienSpy نام دارد که به گفتهی پژوهشگرانِ شرکت امنیتیِ Fidelis، پس از تروجانهای Frutas، Andwind و Unrecom جزو جدیدترین تروجانها از سری تروجانهای RAT محسوب میشود.
AlienSpy قادر به جمعآوری اطلاعات سامانه، بارگذاری و اجرای بدافزارهای اضافی، دستیابیِ مخفیانه به صدا و تصویر کاربر از طریق میکروفن و وبکمِ رایانهی وی، سرقت کلمههای عبور ذخیره شده در مرورگرها و کلیدخوانی میباشد. همچنین این تروجان به مهاجمان اجازه میدهد تا از راه دور به رایانهی آلوده شده دسترسی داشته باشند.
AlienSpy از آلودگیهای موجود در دستگاههای مجهز به ویندوز، لینوکس، مَک و اندروید پشتیبانی کرده و میتواند تعدادی از ضدبدافزارها و ابزارهای امنیتی را غیرفعال نماید. به علاوه میتواند سندباکس (sandbox) را نیز شناسایی کند. تروجان مذکور برای حفظ ارتباط با کارگزارِ فرمان و کنترلِ خود (C&C server) از پروتکلهای رمزنگاری TLS بهره میگیرد.
وبگاه net-security به نقل از پژوهشگران مینویسد: «AlienSpy از جمله RATهای نوشته شده بر اساس جاوا است که با ۱۲ افزونه (plugin) برای پلتفرمهای سامانههای عامل مختلف، یک چارچوبِ افزونهای را فراهم میکند. این چارچوبِ افزونهایِ پیمانهای (modular) کارِ مهاجمان را برای ارتقا دادن این RAT با افزایهای که امکانات اضافی فراهم میکند، آسان مینماید.»
این بدافزار هم اکنون در انجمنهای زیرزمینیِ اینترنتی، بر اساس نوع بستهی آن (از بستهی پایه تا نهایی) بین ۱۹ دلار و ۹۰ سنت تا ۲۱۹ دلار و ۹۰ سنت به فروش میرسد.
این تروجان از طریق رایانامههای ناخواسته گسترش مییابد. ظاهرا این رایانامهها توسط افرادی فرستاده میشود که دریافتکنندگان را از جزییات پرداختها و پیامهای مبادلاتیِ سامانهی Swift، جزییات سفارشها و خطاهای رخ داده در ارسال وجه مطلع میکنند. تروجان مذکور در قالب فایلِ ضمیمه ارسال میشود که معمولا یک پرونده آرشیو با پسوند .zip یا .jar میباشد.
لازم به ذکر است که Swift، یا جامعهی جهانی ارتباطات مالی بین بانکی، یک انجمن تعاونی غیرانتفاعی است که در ماه مه ۱۹۷۳ میلادی توسط ۲۳۹ بانک از پانزده کشور اروپایی و آمریکای شمالی راه اندازی گردید و هدف از آن جایگزینی روشهای ارتباطی غیر استاندارد کاغذی و یا از طریق Telex در سطح بینالمللی با یک روش استاندارد شده جهانی بود.
پژوهشگران هشدار دادند: «در حال حاضر شاهد آن هستیم که موج وسیعی از نمونههای AlienSpy به سرعت در حال گسترش بوده و علیه مشتریان و تشکیلات مختلف از جمله بخشهای فناوری، خدمات مالی، دولت و بخش انرژی به کار گرفته میشود.»
به محض اینکه مهاجم کنترل اوضاع را با استفاده از AlienSpy بدست گیرد، میتواند به دیگر سامانههای شبکه نیز نفوذ کرده و بدافزارهای پیشرفتهای را پخش کند. همچنین مهاجم قادر است سامانهای را که خود آلوده کرده، به دیگر مجرمانِ سایبری اجاره دهد.