تروجان AlienSpy تهدیدی جدید برای مشتریان و شرکت‌ها

به تازگی یک تروجانِ دسترسی از راه دور - که عموما RAT خوانده می‌شوند - کاربران سازمان‌ها و مشتریان را مورد هدف قرار داده است. این RAT بر اساس جاواست و چندسکویی (multiplatform) بوده و AlienSpy نام دارد که به گفته‌ی پژوهشگرانِ شرکت امنیتیِ Fidelis، پس از تروجان‌های Frutas، Andwind و Unrecom جزو جدیدترین تروجان‌ها از سری تروجان‌های RAT محسوب می‌شود.

AlienSpy  قادر به جمع‌آوری اطلاعات سامانه، بارگذاری و اجرای بدافزارهای اضافی، دست‌یابیِ مخفیانه به صدا و تصویر کاربر از طریق میکروفن و وب‌کمِ رایانه‌ی وی، سرقت کلمه‌های عبور ذخیره شده در مرورگر‌ها و کلیدخوانی می‌باشد. هم‌چنین این تروجان به مهاجمان اجازه می‌دهد تا از راه دور به رایانه‌ی آلوده شده دسترسی داشته باشند.

AlienSpy  از آلودگی‌های موجود در دستگاه‌های مجهز به ویندوز، لینوکس، مَک و اندروید پشتیبانی کرده و می‌تواند تعدادی از ضدبدافزار‌ها و ابزار‌های امنیتی را غیرفعال نماید. به علاوه می‌تواند سندباکس (sandbox) را نیز شناسایی کند. تروجان مذکور برای حفظ ارتباط با کارگزارِ فرمان و کنترلِ خود (C&C server) از پروتکل‌های رمزنگاری TLS بهره می‌گیرد.

وبگاه net-security به نقل از پژوهشگران می‌نویسد: «AlienSpy از جمله RAT‌های نوشته شده بر اساس جاوا است که با ۱۲ افزونه (plugin) برای پلتفرم‌های سامانه‌های عامل مختلف، یک چارچوبِ افزونه‌ای را فراهم می‌کند. این چارچوبِ افزونه‌ایِ پیمانه‌ای (modular) کارِ مهاجمان را برای ارتقا دادن این RAT با افزایه‌ای که امکانات اضافی فراهم می‌کند، آسان می‌نماید.»

این بدافزار هم اکنون در انجمن‌های زیرزمینیِ اینترنتی، بر اساس نوع بسته‌ی آن (از بسته‌ی پایه تا نهایی) بین ۱۹ دلار و ۹۰ سنت تا ۲۱۹ دلار و ۹۰ سنت به فروش می‌رسد.

این تروجان از طریق رایانامه‌های ناخواسته گسترش می‌یابد. ظاهرا این رایانامه‌ها توسط افرادی فرستاده می‌شود که دریافت‌کنندگان را از جزییات پرداخت‌ها و پیام‌های مبادلاتیِ سامانه‌ی Swift، جزییات سفارش‌ها و خطا‌های رخ داده در ارسال وجه مطلع می‌کنند. تروجان مذکور در قالب فایلِ ضمیمه ارسال می‌شود که معمولا یک پرونده آرشیو با پسوند .zip یا .jar می‌باشد.

لازم به ذکر است که Swift، یا جامعه‌ی جهانی ارتباطات مالی بین بانکی، یک انجمن تعاونی غیرانتفاعی است که در ماه مه ۱۹۷۳ میلادی توسط ۲۳۹ بانک از پانزده کشور اروپایی و آمریکای شمالی راه اندازی گردید و هدف از آن جایگزینی روش‌های ارتباطی غیر استاندارد کاغذی و یا از طریق Telex در سطح بین‌المللی با یک روش استاندارد شده جهانی بود.

پژوهشگران هشدار دادند: «در حال حاضر شاهد آن هستیم که موج وسیعی از نمونه‌های AlienSpy به سرعت در حال گسترش بوده و علیه مشتریان و تشکیلات مختلف از جمله بخش‌های فناوری، خدمات مالی، دولت و بخش انرژی به کار گرفته می‌شود.»

به محض اینکه مهاجم کنترل اوضاع را با استفاده از AlienSpy بدست گیرد، می‌تواند به دیگر سامانه‌های شبکه نیز نفوذ کرده و بدافزار‌های پیشرفته‌ای را پخش کند. هم‌چنین مهاجم قادر است ساما‌نه‌ای را که خود آلوده کرده، به دیگر مجرمانِ سایبری اجاره دهد.