Ha idegen civilizációk létében reménykedünk, a kiberbűnözők azt is kihasználják
Szinte naponta tűnnek fel új célzott támadások, amelyek pszichológiai manipulációs (social engineering) trükkökkel tévesztik meg a felhasználókat. Ezek a támadások általában az áldozatok munkájához vagy az aktuális hírekhez kötődnek, de a kiberbűnözők néha egész furcsa témákkal is előállnak, amelyek elég érdekesek ahhoz, hogy felkeltsék az áldozatok figyelmét. Ilyen volt a Symantec által azonosított adathalász-támadás, amely titkos információkat ígért egy földönkívüli faj nyomairól a Marson.
A támadók a NASA (National Aeronautics and Space Administration) nevében küldték az emailt, és egy ismert asztronauta aláírásával próbáltak hitelesebb benyomást kelteni. A levél titkos dokumentumokat ígért [DocumentationReport(7-31-14).zip], de ehelyett a Backdoor.Darkmoon (más néven Poison Ivy) kártevőt tartalmazta.
A Darkmoon egy népszerű trójai (RAT) kártevő, amelyet gyakran használnak célzott támadások során, korábban például a G20 találkozóhoz és a Szocsi téli olimpiai játékokhoz köthető támadásokban fordult elő. A Darkmoon vírust több csoport is használta, azonban mindegyik saját céljainak megfelelő módosításokat hajtott végre a programban.
A Symantec a Backdoor.Darkmoon.G variánst használó csoportot figyelte meg, amely legalább 2012 közepe óta volt aktív. A csoport elsődleges fertőzési módszere az adathalász e-mailek használata volt, amely gyakran az ismert hibák kihasználásával is párosult. Ebben az esetben egy önkicsomagoló RAR-fájlt is használtak a rosszindulatú programok elindításához. A támadásban használt minta a Backdoor.Korplughoz hasonlóan megbízható alkalmazásokon keresztül töltötte fel a kártevőket az áldozatok számítógépére. Ezt a technológiát használták a támadók a Backdoor.Klabcon esetében is, amelyet többek között a thaiföldi államcsínyhez kapcsolódó átveréseknél tűnt fel.
A Symantec telemetrikus adatai szerint vállalatokat is támadtak a Darkmoon kártevővel. A NASA nevének említése és az idegenek létére utaló bizonyítékok azt sugallták az embereknek, hogy a támadók a repülőgépiparhoz köthető titkos dokumentumokat szereztek meg. A támadott vállalatok nem feltétlenül állnak kapcsolatban a NASA-val vagy a repülőgépiparral. A kiberbűnözők az alábbi szektorokat támadták ezzel a vírussal:
A Symantec védelme
A Symantec azt javasolja a felhasználóknak, hogy tartsák naprakészen biztonsági megoldásaikat, és legyenek körültekintőek a kéretlen levek csatolmányainak megnyitásakor. A legjobb védelem érdekében a Symantec ügyfeleinek is érdemes megbizonyosodniuk arról, hogy biztosan a legfrissebb otthoni vagy vállalati felhasználóknak szánt Symantec technológiákat alkalmazzák, mint például a Symantec.Cloud szolgáltatást, amely távol tartja a kártevőket tartalmazó kéretlen leveleket.