Más que un Registrador de teclas: Un poderoso info-stealer es comercializado activamente en el formulario de MaaS

Un malware llamado Phoenix, lanzado este año, en julio, con una amplia información de robo de capacidades y sofisticados mecanismos de auto-defensa es ahora publicitados activamente en los ciberdelincuentes' de la comunidad.

Desde este verano, Phoenix se volvió de un registrador de pulsaciones de teclas en un software multi-funcional destinado a robar información. Su potente anti-AV módulo con el objetivo de bloquear más de 80 productos de seguridad, y el robo de datos puede ser exfiltrated a través de Telegrama.

Los investigadores de seguridad de Cybereason informe que la distribución de malware campañas cada pocas semanas. Durante el verano se ha vinculado a más de 10.000 infecciones ya, dice el informe.

De acuerdo a Cybereason, Phoenix fue creado por un experto autor del malware. El Registrador de teclas está escrito en VB.NET lenguaje.

Este malware surgió por primera vez a finales de julio de 2019 en HackForums. El Registrador de teclas fue introducido por un miembro de la comunidad apodado Ilusión, que se unió a la comunidad a finales de julio de 2019 y se inició la comercialización de Phoenix a la vez.

Phoenix es mucho más que un registrador de pulsaciones de teclas: además de keylogging, y el portapapeles de captura, es capaz de capturar la pantalla, el robo de contraseñas (de Navegadores, clientes FTP, Clientes de Correo, Clientes de Chat), exfiltración de datos a través de FTP, SMTP o Telegrama. También, Phoenix puede descargar malware adicional por medio de downloader. Sus características destinadas a la protección de este malware de anti-virus y otro software de seguridad, también son impresionantes, lo que preocupa a los expertos en seguridad mucho.

A juzgar por Phoenix conjunto de funciones, es claro que este malware es creado especialmente para el robo de credenciales y otra información sensible. Phoenix roba información se almacena localmente en el equipo de destino mediante la búsqueda de archivos o claves del registro que contienen información sensible. Phoenix búsquedas en los navegadores, clientes FTP, clientes de correo, y los clientes de chat.

Como para el método de envío, el Phoenix Registrador de teclas por defecto, se suministra como un stub. El comprador se espera que la atención para la entrega de la punta de la máquina de destino por su propia cuenta. Los investigadores observan que la mayoría de Phoenix infecciones se originó a partir de los intentos de phishing utilizando como arma documento de Microsoft Office o archivo RTF. Estas entregas se utiliza vulnerabilidades conocidas; más comúnmente, se aprovechara el Editor de Ecuaciones de la vulnerabilidad (CVE-2017-11882).

Los expertos advierten de que en el futuro Phoenix puede ser generalizada, lo que es motivo de gran preocupación.