Un nuevo keylogger denominado Phoenix que se puso a la venta en foros de hacking durante el verano está ganando popularidad en la escena underground debido a su amplio conjunto de capacidades, que van desde la simple funcionalidad de registro de teclas hasta múltiples funciones de robo de información, según un nuevo informe de empresa de ciberseguridad Sybereason.
Lanzado en julio de 2019, Phoenix opera bajo un modelo de malware como servicio y ya se ha dirigido a víctimas en América del Norte, el Reino Unido, Francia, Alemania y otras partes de Europa y Medio Oriente. Además de la funcionalidad de registro de teclas, el malware también puede robar datos personales de casi 20 navegadores diferentes, incluidos Chrome, Firefox, Opera, Vivaldi y Brave, cuatro clientes de correo diferentes (Outlook, Thunderbird, Seamonkey, Foxmail), clientes FTP (Filezilla), y clientes de chat, descargue malware adicional y extraiga datos a través de SMTP, FTP o incluso Telegram.
Para evitar la detección, el keylogger Phoenix intenta deshabilitar el módulo AntiSpyware de Windows Defender cambiando la clave de registro y utiliza sus módulos anti-AV y anti-VM para terminar el proceso de más de 80 productos de seguridad (la lista completa se proporciona en la publicación del blog Sybereason ).
Por defecto, el keylogger Phoenix se ofrece a los compradores como un trozo y deben usar sus propios medios para entregar el trozo a la máquina objetivo, dijeron los investigadores. En la mayoría de los casos, el malware se propagó a través de correos electrónicos de phishing que contenían un archivo de texto enriquecido (RTF) o un documento de Microsoft Office que aprovechaba vulnerabilidades conocidas, a saber, la vulnerabilidad del Editor de ecuaciones (CVE-2017-11882), para comprometer las máquinas de las víctimas.
Una vez que infecta el sistema de destino, Phoenix recopila y almacena en la memoria la información sobre el sistema operativo, el hardware, los procesos en ejecución, los usuarios y su IP externa y luego envía los datos recolectados a los atacantes directamente, sin escribirlos en el disco.
"Después de obtener información básica del sistema, Phoenix verifica si se está ejecutando en un entorno" hostil ". Un entorno hostil puede tomar diferentes formas: si Phoenix se implementa en una máquina virtual, depurador o en una máquina con herramientas de análisis o productos antivirus instalados. Phoenix tiene un conjunto de características para deshabilitar diferentes herramientas de Windows dentro del panel de administración, como deshabilitar CMD, el registro, el administrador de tareas, la restauración del sistema y otros ", encontraron los investigadores.
Cybereason cree que el keylogger Phoenix es una evolución del keylogger Alpha, que desapareció misteriosamente de la escena del delito cibernético a principios de julio de este año, debido a las similitudes entre la funcionalidad y el diseño del panel de administración para el keylogger Phoenix y el keylogger Alpha.
"Creemos que el keylogger Phoenix no es solo una evolución del keylogger Alpha, sino también un intento de cambiar el nombre y darle al autor una pizarra limpia en la comunidad clandestina", dijeron los investigadores.
“Según nuestro análisis, el modelo de malware como servicio de Phoenix atrae a una amplia gama de ciberdelincuentes, particularmente a los menos sofisticados que no poseen los conocimientos técnicos para desarrollar su propia infraestructura de malware exitosa. Esto indica una tendencia continua de los ciberdelincuentes que siguen el modelo de malware como servicio para hacer que el malware sea accesible para cualquier usuario de nivel ", concluyó el equipo de investigación.
