Больше, чем просто кейлоггер: мощный похититель информации активно продается в виде MaaS

Вредоносная программа под названием Phoenix, выпущенная в июле этого года, обладающая чрезвычайно широкими возможностями кражи информации и сложными механизмами самообороны, сейчас активно рекламируется в сообществе киберпреступников.

С этого лета Phoenix превратился из регистратора нажатий клавиш в многофункциональное программное обеспечение, предназначенное для кражи информации. Его мощный анти-AV модуль направлен на блокировку более 80 продуктов безопасности, а украденные данные могут быть эксфильтрированы через Telegram.

Исследователи безопасности из Cybereason сообщают, что кампании по распространению вредоносных программ проводятся каждые несколько недель. За лето он уже был связан с более чем 10 000 инфекциями, говорится в докладе.

Согласно Cybereason, Phoenix был создан опытным автором вредоносных программ. Кейлоггер записан в VB.NET язык.

Эта вредоносная программа впервые появилась в конце июля 2019 года на Хакфорумах. Кейлоггер был представлен членом сообщества по прозвищу иллюзия, который присоединился к сообществу в конце июля 2019 года и сразу же начал продавать Phoenix.

Phoenix-это гораздо больше, чем просто регистратор нажатий клавиш: помимо кейлоггинга и захвата буфера обмена, он способен захватывать экран, красть пароли (из браузеров, FTP-клиентов, почтовых клиентов, клиентов чата), эксфильтрацию данных через FTP, SMTP или Telegram. Кроме того, Phoenix может загружать дополнительные вредоносные программы с помощью встроенного загрузчика. Его возможности, направленные на защиту этой вредоносной программы от антивирусов и другого программного обеспечения безопасности, также впечатляют, что очень беспокоит экспертов по безопасности.

Судя по набору функций Phoenix, очевидно, что эта вредоносная программа создана специально для кражи учетных данных и другой конфиденциальной информации. Phoenix крадет информацию, хранящуюся локально на целевом компьютере, путем поиска определенных файлов или разделов реестра, содержащих конфиденциальную информацию. Phoenix выполняет поиск в браузерах, FTP-клиентах, почтовых клиентах и клиентах чата.

Что касается способа доставки, то кейлоггер Phoenix по умолчанию поставляется в виде заглушки. Ожидается, что покупатель позаботится о доставке заглушки к целевой машине самостоятельно. Исследователи отмечают, что большинство инфекций Phoenix возникли из-за попыток фишинга с использованием оружейного документа Microsoft Office или RTF-файла. Эти поставки использовали известные эксплойты; чаще всего они использовали уязвимость редактора уравнений (CVE-2017-11882).

Эксперты предупреждают, что в будущем Феникс может получить широкое распространение, что вызывает большую озабоченность.