Vigyázat! Támad az AlienSpy trójai

Egy meglehetősen komplex trójai program kezdte meg hódító útját az interneten. Az általa megfertőzött számítógépeken tárolt adatok nyitott könyvként jelennek meg a vírusterjesztők előtt.
 

Egyre többször üti fel a fejét az AlienSpy trójai, amely korántsem előzmények nélkül jelent meg. A jelenlegi variánsa ugyanis sok tekintetben hasonlít a korábbról már ismert Frutas, Adwind és Unrecom nevű károkozókra, amik a kiberbűnözők körében már évek óta használatosak a különféle támadások során. Ezek utódját, az AlienSpy-t elsőként a General Dynamics Fidelis Cybersecurity Solutions biztonsági kutatói vették alaposabban is górcső alá, és számos érdekességre lettek figyelmesek.

Az AlienSpy a legtöbbször kártékony e-mailek révén terjed, amelyek adathalász célokat is szolgálnak. Gyakran fizetésekkel vagy rendelésekkel kapcsolatos, hamis információkat tartalmaznak, és ha a felhasználó megnyitja a levelek mellékletét, akkor a számítógépe rögtön megfertőződhet. Amennyiben ez megtörténik, akkor a trójai komoly alapot ad ahhoz, hogy az áldozatául eső PC-k teljesen kiszolgáltatottá váljanak az adatszivárgásokkal, illetve a külső támadásokkal szemben. 

A trójai egy Java alapú kártékony program, amely különféle modulokból épül fel. Emiatt a funkcionalitása a támadók igényeinek megfelelően bővíthető. A kutatók eddig legalább 12 különböző modult tártak fel, amelyek egyebek mellett az alábbi feladatokat látják el:
- rendszerinformációk összegyűjtése
- felvételek készítése mikrofonnal, webkamerával
- távoli asztali kapcsolat kiépítése
- billentyűleütések naplózása
- bizalmas adatok kigyűjtése a webböngészőkből
- Bitcoin, Litecoin bányászat.

A modulok kapcsán fontos megjegyezni, hogy ezek révén a trójai készítői bizonyos szinten a platformfüggetlenséget is képesek biztosítani. A károkozó egyes összetevői ugyanis nemcsak a Windows operációs rendszerrel kompatibilisek, hanem Linux, Mac OS X, valamint Android alatt is bevethetők.

Az AlienSpy fontos jellemzője, hogy az általa megfertőzött rendszereken képes detektálni, és hatástalanítani a védelmi szoftvereket, illetve egyes biztonsági eszközöket. Külön algoritmusokkal rendelkezik a sandbox alapú környezetek felismeréséhez, amivel a kimutatását és az elemzését is képes megnehezíteni. A rejtőzködést azzal is elősegíti, hogy a vezérlőszerverével TLS-alapú, titkosított kommunikációs csatornán keresztül veszi fel a kapcsolatot, és mindent elkövet azért, hogy az általa generált adatforgalom egyetlen hálózatalapú védelmi megoldás figyelmét se keltse fel. 

Feketepiaci portéka

Az AlienSpy gyors terjedésének egyik oka, hogy egyre felkapottabbá válik az internetes feketepiacon. Azoknak, akik megvásárolják nincs különösebben nehéz dolguk, hiszen a trójaihoz - ahogy az ilyenkor lenni szokott - tartozik egy olyan grafikus felület, amelyen könnyedén összekattintgathatók azok a funkciók, amelyek éppen szükségesek a célpont megkárosításához. Hasonlóan a legális szoftverekhez, az AlienSpy is többféle változatban érhető el. A legolcsóbb verzió már 20 dollárért beszerezhető, míg a legnagyobb tudású és egyben legtöbb veszélyt hordozó kiadás 220 dollárba kerül. 
Védekezési lehetőségek

Az AlienSpy elleni védekezés kulcseleme a megelőzés. Amennyiben ugyanis felkerül egy számítógépre, akkor már nehéz a felismerése, különösen akkor, ha hatástalanítani tudja a védelmi alkalmazásokat. Ezért még a fertőzés előtt kell blokkolni. Ebben sokat segíthet a biztonságtudatos levelezés és internetezés, valamint természetesen a naprakészen tartott, megelőző védelmi mechanizmusokkal felvértezett védelmi alkalmazások, eszközök használata is. Mindezek mellett célszerű szűrni azokat a küldeményeket, amelyek .jar, .exe vagy .scr kiterjesztésű állományokat tartalmaznak a csatolmányaikban.