RAT нового поколения способен отключить большинство антивирусов

image

Теги: вредоносное ПО, троян, RAT, кроссплатформа

Исследователи полагают, что для создания нового трояна использовался исходный код уже существующих RAT.

Автор: Александр Антипов

Киберпреступники часто используют существующие трояны удаленного доступа (RAT) для создания новых образцов вредоносного ПО. Ярким примером этому стал AlienSpy – новый RAT, используемый в глобальных фишинговых кампаниях, нацеленных на граждан разных стран.

Как  сообщается в блоге компании Fidelis Cybersecurity Solution, AlienSpy представляет собой усовершенствованную версию RAT Frutas, Adwind и Unrecom, которые на протяжении последних нескольких лет использовались в различных кампаниях киберпреступников. Троян распространяется через фишинговые письма с вредоносными вложениями. Инфицировав систему, он часто загружает и устанавливает другие виды вредоносного ПО.

AlienSpy можно приобрести на подпольных форумах. Троян распространяется на основе подписки – 15 дней обходятся злоумышленникам в $9,90, а за годовую лицензию необходимо выплатить $219,90. Платный доступ открывает расширенные возможности AlienSpy, которые включают в себя детектирование песочниц, отключение антивирусного ПО и использование протокола TLS для связи с C&C-сервером.

В настоящее время AlienSpy обнаруживается лишь небольшим числом антивирусов. Помимо этого, RAT способен работать на большинстве популярных ОС – Windows, OS X, Linux и Android. Эксперты Fidelis отметили, что по сравнению с троянами удаленного доступа предыдущего поколения AlienSpy сделал «огромный шаг вперед».

AlienSpy позволяет злоумышленнику полностью контролировать инфицированную систему и собирать важные данные (включая версию ОС, объем оперативной памяти и жесткого диска, номер версии Java и прочую информацию). Помимо этого, RAT способен загружать и устанавливать иное вредоносное ПО, перехватывать аудио и видео с web-камеры и микрофона, а также пароли и все клавиатурные нажатия. Новое поколение трояна может обнаружить режим песочницы и выйти за его пределы, а также отключить работу порядка 20 антивирусов.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.