Criminosos usam AlienSpy para abrir backdoor e roubar dados

Cyber ​​criminosos têm explorado a AlienSpy RAT para entregar popular Citadel bancário Trojan e manter a persistência dentro da arquitetura orientada com um mecanismo de backdoor. Tripulações Criminal usado AlienSpy RAT para comprometer sistemas em uma série de indústrias, incluindo serviços públicos de energia, serviços financeiros, agências governamentais e empresas de tecnologia.

A Citadel trojan foi utilizado por ameaças atores em estado selvagem para alvejar infra-estruturas críticas .

De acordo com os especialistas da empresa de segurança Fidelis, AlienSpy representa a evolução de outras ferramentas de acesso remoto, como Adwind, Unrecom e ratos baseados em Java Frutas.

AlienSpy RAT

Os atacantes espalhar a AlienSpy RAT com um clássico phishing campanha, o malware tem a capacidade de comprometer múltiplas plataformas, incluindo Windows, Linux, Mac OS X e Android.

"Acreditamos que beneficia de desenvolvimento unificado e apoio que resultou em rápida evolução de seu conjunto de recursos, incluindo suporte multiplataforma, incluindo Android, bem como técnicas de evasão que não estão presentes em outros ratos. Deve-se notar que as gerações anteriores desta RATO continuar a ser utilizada em campanhas específicas, nomeadamente Adwind. No entanto, no momento estamos observando uma onda de amostras AlienSpy sendo implantados em todo o mundo contra os consumidores, bem como empresas em sectores de energia de Tecnologia, Serviços Financeiros, Governo e. ", afirma o relatório publicado por Fidelis.

AlienSpy implementa as características típicas de outros ratos além de outras características, incluindo a habilidade de capturar sessões webcam, para furtar dados do browser, para usar o microfone da vítima para gravar conversas de ambiente, para acessar arquivos e para fornecer um controle de área de trabalho remota.

AlienSpy usa plugins para implementar os recursos acima, os especialistas descobriram 12 plugins diferentes.

A cepa de malware é uma estirpe bem escrito de malware, seus autores implementou uma série de recursos de proteção, como a capacidade de evitar a execução em uma máquina virtual (normalmente usado por pesquisadores de malware para estudar o código malicioso) e desativar solução de segurança instalada na máquina da vítima (ou seja, software antivírus).

O tráfego entre o AlienSpy RAT e os servidores C & C é protegido por criptografia TLS para

"Aplicando esta técnica torna muito difícil para os defensores de rede para detectar a atividade maliciosa de gânglios infectados na empresa."

"Criptografia de tráfego da rede é feito para ofuscar o tráfego de rede malicioso com o servidor de comando e controle (CNC)", diz o relatório.

Especialistas sugerem Fidelis empresas a analisar cuidadosamente arquivos com arquivos executáveis ​​(por exemplo, .exe, .jar, .scr, etc.) ligados a e-mails recebidos

"As empresas são recomendados para implementar políticas em que e-mails contendo arquivos com executáveis ​​arquivos (por exemplo, .exe ,. jar ,. scr , etc.) são inspecionados por um dispositivo de segurança antes de chegar ao usuário final. ", afirma Fidelis.

Pierluigi Paganini