Phoenix Keylogger tenta parar mais de 80 produtos de segurança

Phoenix Keylogger tenta parar mais de 80 produtos de segurança
Phoenix Keylogger

Um novo keylogger chamado Phoenix, que começou a ser vendido em fóruns de hackers recentemente, agora está ligado a mais de 10.000 infecções. É o que garantem pesquisadores da Cybereason em um relatório que acaba de ser divulgado. Para evitar detecção, o Phoenix Keylogger tenta parar mais de 80 produtos de segurança. Portanto, o Phoenix Keylogger tenta parar mais de 80 produtos de segurança.

Lançado em julho no HackForums, o Phoenix Keylogger é uma nova ameaça que lentamente ganhou seguidores no cenário de malware.

Novas campanhas de distribuição de malware estão sendo vistas a cada semana, de acordo com a inteligência de ameaças compartilhada no Twitter.

Phoenix Keylogger tenta parar mais de 80 produtos de segurança

A Cybereason diz que Phoenix é o trabalho de um experiente autor de malware. Nos últimos meses, o Phoenix evoluiu de um simples registrador de pressionamento de tecla (keylogger) para um cavalo de Troia multifuncional para roubar informações (infostealer).

Enquanto as versões iniciais incluíam a capacidade de registrar pressionamentos de teclas, as versões mais recentes traziam a capacidade de despejar dados do usuário, como senhas, de 20 navegadores diferentes, quatro clientes de email diferentes, clientes de FTP e aplicativos de bate-papo, disseram os pesquisadores.

Além disso, o Phoenix também ganhou um módulo anti-AV e anti-VM agressivo. Assim, tenta impedir que o malware seja detectado e analisado enquanto implantado “in loco”.

Máquinas virtuais

Ambos os módulos funcionam da mesma maneira, com uma lista de nomes de processos predefinidos que o Phoenix tentará desligar antes de continuar operando. A lista inclui os nomes de mais de 80 produtos de segurança conhecidos e tecnologias de máquina virtual (VM), frequentemente usados para análise e engenharia reversa de malware.

A lista de nomes de processos relacionados à segurança está na imagem abaixo, enquanto o autor do Phoenix parece ter copiado e colado a lista de processos de VM de uma postagem de blog da empresa de segurança cibernética Cyberbit.

Imagem: Cybereason

Os produtos de segurança profissional vêm com sistemas de proteção para alertar os usuários quando um aplicativo local tenta interromper seu processo. No entanto, se o Phoenix for bem-sucedido, o malware coletará os dados que foram configurados para coletar e os filtrará para um local remoto.

De acordo com a Cybereason, este pode ser um servidor FTP remoto, uma conta de email SMTP remota ou até mesmo um canal de Telegram.

USADO PRINCIPALMENTE PARA COLETA DE CREDENCIAIS

Os pesquisadores da Cybereason atribuem a crescente popularidade do malware à sua interface fácil de usar. Ele permite aos compradores configurá-lo à vontade. Os pesquisadores dizem que viram o malware implantado em todo o mundo, em diferentes configurações, dependendo dos objetivos que os invasores estavam tentando alcançar.

No entanto, uma tendência se destacou: o fato de o Phoenix raramente ser configurado para obter persistência de inicialização nos sistemas Windows de hosts infectados.

Basicamente, o malware infectaria os usuários, extrairia e roubaria dados de aplicativos locais e desapareceria após a primeira reinicialização.

O Phoenix tem um recurso de persistência, porém […] a maioria das infecções que analisamos não exibiu comportamento de persistência, disse Assaf Dahan, diretor sênior e chefe de pesquisa de ameaças da Cybereason.

É nossa opinião que o Phoenix é usado mais como um ladrão de informações ‘único’, em vez de uma ferramenta projetada para vigilância de longo período, acrescentou.

Como é um malware completamente novo, e ainda em desenvolvimento, pode haver uma mudança para uma ferramenta de vigilância mais robusta no futuro.

Quanto à clientela, parece que a maioria dos compradores está interessada em obter dados confidenciais que eles poderiam vender mais tarde nos mercados subterrâneos, principalmente nas comunidades de vendas de credenciais, disse Dahan, referindo-se à capacidade da Phoenix de extrair e roubar nomes de usuário e senhas armazenadas nos navegadores – dados que podem ser muito valiosos para autores de malware.

Phoenix Keylogger tenta parar mais de 80 produtos de segurança. Hackers não precisam do recurso para sempre

Como esses dados podem ser extraídos alguns segundos após a infecção inicial, isso também explica por que os grupos de cibercriminosos que espalham o Phoenix raramente se preocupam em configurar um método de persistência de inicialização. Eles simplesmente não precisam, e um mecanismo de persistência de inicialização deixaria apenas evidências forenses para trás, que podem alertar os usuários de que foram infectados no passado.

A falta desse sistema de persistência de inicialização também impossibilita o rastreamento de infecções por malware Phoenix sem recursos estendidos de registro, geralmente encontrados apenas em ambientes corporativos.

Este relatório vinculado da Cybereason também analisa o autor do malware Phoenix. Os pesquisadores acreditam que o criador do Phoenix também é o autor do Alpha Keylogger, outro tipo de malware comercial que morreu alguns meses antes do lançamento do Phoenix. As conexões entre as duas linhagens destacadas no relatório Cybereason incluem desde código reutilizado até o uso do mesmo layout e fonte para materiais promocionais.

Imagem: Cybereason
Acesse a versão completa
Sair da versão mobile