黑客們協同開發了外星人間諜(AlienSpy RAT)軟件，這是一種遠程連接工具，旨在一系列關鍵基礎設施上植入并傳播城堡(Citadel)銀行木馬。

根據國防集團通用動力(General Dynamics)的下屬安全公司Fidelis報道，外星人間諜是基于Adwind、Unrecom和Frutas這些Java架構的遠程控制木馬開發的。Fidelis公司在本月8日發布的報告中表示，該惡意軟件通過偽造消息進行傳播，目前已經在科技企業、金融服務企業、政府機構、能源設施中發現了該軟件。

Fidelis公司在報告中表示，他們相信該軟件通過統一軟件開發維護過程得以快速迭代，其功能集合正飛速擴展，包括對安卓的多平臺支持，另外，它的行為還顯示出其它RAT軟件并沒有的逃避技術。

外星人間諜同時支持Windows、Linux、Mac OS X和安卓平臺。它表現出了RAT軟件的傳統行為，比如收集系統數據、建立后門以上傳惡意程序(包括鍵盤記錄器)、提取泄露數據，另外，它還能控制攝像頭、監聽設備麥克風、提供遠程桌面控制、竊取瀏覽器中的信用卡信息、訪問文件。總的來看，一共有12個外星人間諜插件分別提供了這些能力。

當今的版本還包括檢測自身是否運行在VMware或者甲骨文Virtual Box之類的虛擬機中的功能。其余的自保功能還有關閉殺毒軟件以及其它安全工具、使用TLS和幕后服務器進行加密通信。

使用傳輸加密是為了對軟件和幕后服務器的通信進行偽裝，這樣的技術使得網絡防御者很難在公司網絡中找到惡意流量。

Fidelis公司破解了外星人間諜的一個配置文件，其中包含該軟件可以欺騙的一大串商業以及開源安全軟件，其中包括抓包工具Wireshark。

Fidelis公司抓到的一個樣本會投放城堡銀行惡意軟件，它在過去被用于關鍵行業的入侵上。它會偽裝成歷史訂單、匯款到賬通知、支付信息，讓受害者上鉤，執行惡意軟件。該惡意軟件還會被整合在外星人間諜構造中的Java混淆器Allatori所混淆。

這個樣本還曝光了幕后服務器的DNS信息(owoego[.]chickenkiller[.]com)，它使用9999端口進行后門通信、虛擬機檢測，以及收集Java包所在文件夾、名稱、后綴、注冊表項的信息。

Fidelis公司建議各公司在看到.jar后綴的文件時不要讓員工打開，而是先進行檢查。讓公司的關鍵人員打開可執行的附件，可能存在安全風險。

原文地址：http://www.aqniu.com/tools/7274.html