معرفی و فروش آنتی ویروس ها

بایگانی

۱ مطلب با کلمه‌ی کلیدی «AlienSpy» ثبت شده است

محققان در مؤسسه‌ی امنیتی Fidelis می‌گویند: «بد‌افزار جاسوسی AlienSpy، قبل از ظهورِ خیره‌کننده در بلک‌هت، ۲۰ روز قبل روی تلفن‌همراه یک دادستان آرژانتینی مرده پیدا شد، ظاهراً کنترل‌کننده‌ی تروجان دسترسی از راه دورِ AlienSpy کار خود را تعطیل کرده، و این بدافزار جاسوسی را تغییر نام و شکل داده و سپس محدوده‌ی عملیات آن را به حوزه‌های جدیدی گسترش داده است.»

در دی‌ماه سال پیش، پیکر بی‌جان فردی که ظاهراً دادستانی بی‌پروا به نام آلبرتو نیسمن بود، پیدا شد. علت مرگ وی خودکشی اعلام شده بود اما شواهد با توجه به گزارش‌های منتشرشده این نتیجه‌گیری را رد می‌کنند.

بنا به گفته‌ی مدیر امنیتی First Look Media، گوشی اندرویدی نیسمن، به مدت ۶ هفته آلوده به AlienSpy بوده است.

«esterictamente secreto y confidencial.pdf.jar» پرونده‌ای است که در گوشی نیسمن پیدا شده، و مرکب از AlienSpy بوده است، تروجانی با دسترسی از راه دور که به زبان جاوا نوشته شده و توسط سایر تهدیدکنندگان بر علیه اهدافشان در زیرساخت‌های بحرانی استفاده شده است.

 

این RAT۱ نه‌تنها اطلاعات سامانه را جمع‌آوری کرده، و با ایجاد یک در پشتی پرونده‌های اجرایی مخرب ( ازجمله یک کی‌لاگر) را بارگیری کرده و داده‌های دزدی را استخراج می‌کند، بلکه می‌تواند جلسات وبکم را ضبط کند، به میکروفون سامانه گوش دهد، رومیزی دارای قابلیتِ کنترل از راه دور ایجاد کند، گواهی‌نامه‌های مرورگر را بدزدد و به پرونده‌ها دسترسی پیدا کند.

 

محققان Fidelis در ماه فروردین گزارشی را در مورد شیوع و گسترش AlienSpy به‌ وسیله‌ی پیام‌های فیشینگ منتشر کردند. طبق گفته‌ی Fidelis در گزارشی که اخیراً منتشر کرد، مدت کوتاهی بعد از انتشار گزارش قبلی، ثبت‌کننده‌ی دامنه‌ی GoDaddy، دامنه‌ی AlienSpy را تعلیق کرد و در طی دو هفته دامنه‌ی فعلی jsocket[.]org در eNom ثبت شد.

تا ۲۱ تیرماه AlienSpy وجود نداشته و از کاربران خواسته می‌شد که به jsocket[.]org مراجعه کنند که در یک میزبان بریتانیایی به نام LayerIP قرار داشته است.

بنا به گفته‌ی محققان، از آن زمان تاکنون، کمپین‌های فیشینگ به  استفاده از RAT برای اهداف جدید خود در صنایع، مانند ابزارها، آژانس‌های دولتی و مخابرات سوق پیدا کرده‌اند.

JSocket مانند نمونه‌ی قبلی خود، به صورت تجاری موجود است و مستعد حذف به همان شکل است.

به گفته‌ی هاردیک مودی محقق در زمینه‌ی تهدید و معاون Fidelis، «این بدافزار به صورت عمومی در‌ دسترس بوده و با یک تراکنش بیت‌کوین می‌توانید بسته را دریافت کنید. آن‌ها در فضای باز عمل می‌کنند، آن‌ها رد خود را پاک می‌کنند. ما هنوز متوجه نشده‌ایم که چه کسانی این بدافزار را ایجاد و توزیع می‌کنند، اما به صورت فروشی و تحت مجوز مبتنی بر اشتراک در دسترس بوده و سازنده به سامانه‌ی آن‌ها وصل می‌شود. این دلیل اصلی از کار افتادن این شبکه در فروردین بود؛ ثبت‌کننده‌ی آن‌ها بعد از انتشار گزارش‌های عمومی در این زمینه، شبکه را تعطیل کرد. آن‌ها دامنه را حذف کردند و همه‌ی نسخه‌های آن بسته‌ی نرم‌‌افزاری را که به آن نقطه مربوط بود را لغو کردند.»

نسخه‌ای که روی تلفن نیسمن بود بدافزاری برای آسیب‌رسانی به یک ماشین ویندوز بود؛ AlienSpy در درجه‌ی اول تهدیدی برای ویندوز است و از بستر‌های اندروید، لینوکس و Mac OS X پشتیبانی نمی‌کند. هنوز مشخص نیست که آیا نیسمن رایانامه‌ی فیشینگ را روی لپ‌تاپ خود بازکرده است یا نه.

JSocket هنوز مبتنی بر جاوا است و با یک برنامه‌ی رمزگذاری و کلید جدید به‌روزرسانی شده است که بازکردن بسته و تحلیل آن را مشکل می‌کند.

JSocket همچنین در صورتی که یک سرویس‌گیرنده‌ی جاوا روی ماشین قربانی وجود نداشته باشد، سعی می‌کند که آن را نصب کند.

«عمل‌کرد این RAT قابل مقایسه با سایر RAT‌ها است ولی سازمان‌های بسیاری به‌طور طبیعی از ورود محتوای قابل اجرا، پرونده‌های PE ویندوز، به محیط جلوگیری می‌کنند. اما به پرونده‌های جاوا تا این حد توجه نمی‌شود. پرونده‌های jar که به محیط وارد می‌شوند با این دقت بررسی نمی‌شوند.»
۰ نظر موافقین ۰ مخالفین ۰ ۲۶ دی ۹۴ ، ۱۳:۳۱
nazanin