来自Fidelis的安全研究人员近日发现,远程控制木马正被用在全球性的钓鱼攻击中。攻击者们利用AlienSpy远控木马控制“肉鸡”以传播银行木马Citadel,并通过植入后门保持攻击的持久性。“肉鸡”分布在各个行业,包括能源公用事业、金融服务、政府执法部门和科技公司。
科普:肉鸡
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用远程控制软件等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击。可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。
远控木马再精进
Fidelis的专家们称,新出现的AlienSpy代表着如Adwind、Unrecom和Frutas等基于Java的远控木马的发展。
攻击者通过经典的钓鱼攻击传播AlienSpy木马,这款木马能够跨平台,支持的平台包括Windows,Linux,Mac OS X和Android。而专攻银行的Citadel木马则被用来攻击关键基础设施。
使用插件实现功能
AlienSpy实现了其他远控有的一些“经典”功能,还增加了一些新的插件——插件功能包括捕获摄像头内容、窃取浏览器登录信息、使用受害者的话筒进行录音、读取文件和进行远程桌面控制等多达12种。
这款恶意软件还实现了一系列自我保护功能,比如它能够防止在虚拟机运行(恶意软件研究者通常这样研究恶意代码)、关闭受害者电脑中的安全软件。AlienSpy远控木马程序和C&C服务器之间的流量通过TLS加密保护起来,使得公司难以察觉这些恶意行为。
安全建议
Fidelis的专家们建议公司仔细检查邮件附件中包含的可执行文件(如 .exe, .jar, .scr等)
