Cybereason spesialister studerte Phoenix malware, som kom i sommer, og presenterer en hybrid av en keylogger og en infostealer. Forskere har funnet ut at Phoenix kan deaktivere mer enn 80 sikkerhetsprodukter.
Than malware sprer seg i henhold til mesh modellen (“Malware som en tjeneste”) og er allerede ansvarlig for 10,000 infeksjoner.Siden Phoenix selges som et abonnementsprodukt, Prisene varierer fra $14.99 en måned til $78.99 for en levetid abonnement. Cybereason analytikere skriver at Phoenix er en videreutvikling av en erfaren malware forfatter. Tilsynelatende, forfatteren av Alpha Keylogger malware, som døde tidligere i år, var opprinnelig bak skaperverket.
“Phoenix er mer enn bare en keylogger, den har bred informasjons stjele evner og selvforsvarsmekanismer, som omfatter et anti-AV-modul som forsøk på å stoppe 80 sikkerhetsprodukter, og evnen til å exfiltrate data gjennom Telegram”, - skrive Cybereason spesialister.
Faktisk, i løpet av de siste månedene, Phoenix har utviklet seg fra en enkel keylogger til en multifunksjonell trojan laget for å stjele informasjon (infostealer). Hvis du er i den første versjonen den skadelige versjonen ble gitt kun for evnen til å avskjære tastetrykk, da nyere versjoner av malware stjele passord fra nesten tjue forskjellige nettlesere, fire e-postklienter, FTP-klienter og lynmeldingstjenester. I tillegg, malware kan stjele data fra utklippstavlen, ta skjermbilder og laste ned ekstra malware.
Informasjon stjålet fra ofrene blir overført til malware operatører via SMTP, FTP eller Telegram.
Les også: Kriminelle gi linker til RAT trojan i WebEx invitasjoner
Phoenix ervervet også aggressive modulene i forhold til anti-virus og VM som prøver å hindre deteksjon og analyse av skadelig. Begge modulene fungerer på samme måte: de prøver å slå av en rekke prosesser før malware fortsetter å arbeide, for dette, refererer til en forhåndsdefinert liste med navn. Denne listen inneholder navnene på mer enn 80 velkjent sikkerhetsprodukter og virtuelle maskiner, som ofte brukes for omvendt utvikling og analyse av skadelig.
Analytikere sier at Phoenix kunne bruke sine evner til å oppnå en permanent tilstedeværelse i systemet, men dets operatører har liten interesse i det. Ifølge forskerne, oftere skadelig anvendes som en én-gang-løsning for datatyveri og brukes ikke for langtidsovervåking av ofre. Noen sekunder etter smitte, Phoenix stjeler all nødvendig konfidensielle data, Og på denne dens funksjon er ferdig. Kriminelle oftest salg informasjon stjålet på denne måten på Darknet.
