Atacantes han cooptado AlienSpy, una herramienta de acceso remoto (RAT, por sus siglas en inglés), para enviar el troyano bancario Citadel y establecer puertas traseras dentro de una serie de operaciones de infraestructura crítica.

AlienSpy es descendiente de los RAT basados en Java Adwin, Unrecom y Frutas, según la compañía de seguridad Fidelis, que pertenece a General Dynamics.

Fidelis dijo en su informe de hoy que las infecciones de AlienSpy se han extendido a través de mensajes de phishing y han sido detectadas dentro de empresas de tecnología, servicios financieros, agencias gubernamentales y empresas públicas de energía.

"Creemos que se beneficia del desarrollo y apoyo unificados que han llevado a la evolución rápida de su conjunto de características, incluyendo soporte multiplataforma, para Android, así como técnicas de evasión que no están presentes en otros RAT," comentó Fidelis en su informe.

También dijo que tiene apoyo multiplataforma para Windows, Linux, Mac OS X y para máquinas y dispositivos Android. Además de la conducta típica de RAT, por ejemplo, recopilando información del sistema, estableciendo una puerta trasera para la carga de ejecutables maliciosos (incluyendo un keylogger) y la extracción de datos robados. AlienSpy también puede captar las sesiones de webcam, escuchar en el micrófono de la máquina, proporcionar control de escritorio remoto, robar credenciales del navegador y tener acceso a archivos. En total hay 12 plugins de AlienSpy que entregan estas capacidades de espionaje.

Esta versión también es capaz de detectar si se está ejecutando dentro de una máquina virtual, como VMware o Virtual Box de Oracle. Otras técnicas de supervivencia incluyen la capacidad de inutilizar antivirus u otras herramientas de seguridad y el uso de codificación TLS para proteger la comunicación con un servidor centralizado command and control (conocido como C&C, es una máquina centralizada capaz de enviar comandos y recibir salidas de máquinas que son parte de una botnet).

"El cifrado de tráfico de red se realiza para ofuscar el tráfico de red malicioso con el servidor C&C", dijo Fidelis. "Aplicar esta técnica hace que sea muy difícil para defensores de la red detectar la actividad maliciosa de nodos infectados en la empresa."

Fidelis fue capaz de abrir una grieta en un archivo de configuración y ver una larga lista de herramientas de seguridad comerciales y de código abierto que puede eludir, inclusive el analizador de paquetes de red Wireshark.

Una muestra tomada por Fidelis descendía del malware bancario Citadel, que ha sido reutilizado en el pasado contra industrias críticas. El malware también fue ofuscado con el ofuscador Allatori de Java, el cual parece estar integrado en el constructor de AlienSpy, comentó Fidelis.

La muestra también reveló información DNS para el servidor C&C, uso del puerto 9999 para la comunicación por la puerta trasera, detección de VMware, Virtual Box e información acerca del archivo Java que incluye su carpeta, el nombre, la extensión y llave de registro.

Fidelis recomendó a las empresas inspeccionar archivos adjuntos que contienen extensiones .jar antes de permitir a los usuarios manejarlos. Lo que comentó fue: "No quisieras que el personal de finanzas, recursos humanos o la oficina ejecutiva reciba archivos ejecutables por correo o documentos con ejecutables que podrían ponerlos en riesgo."