ΑρχικήsecurityΤο νέο Keylogger Phoenix απενεργοποιεί 80 προϊόντα ασφαλείας και δεν ανιχνεύεται

Το νέο Keylogger Phoenix απενεργοποιεί 80 προϊόντα ασφαλείας και δεν ανιχνεύεται

Keylogger PhoenixΣύμφωνα με μια έκθεση των ερευνητών της Cybereason, το νέο keylogger Phoenix που εμφανίστηκε σε hacking forums το καλοκαίρι, συνδέεται με περισσότερες από 10.000 μολύνσεις.

Πρώτη φορά εμφανίστηκε τον Ιούλιο, όταν κυκλοφόρησε στο HackForums. Σταδιακά το keylogger άρχισε να κερδίζει έδαφος και πλέον θεωρείται μια από τις σημαντικότερες απειλές.

Οι hackers άρχισαν να χρησιμοποιούν το keylogger Phoenix για την πραγματοποίηση εκστρατειών με σκοπό την κλοπή δεδομένων. Οι ερευνητές έχουν εντοπίσεις πάρα πολλές επιθέσεις, που συνδέονται με αυτό το keylogger.

Κλοπή πληροφοριών

Σύμφωνα με τους ερευνητές της Cybereason, ο hacker που κρύβεται πίσω από το Phoenix είναι πολύ έμπειρος και με πολλές ικανότητες. Μέσα σε λίγους μόνο μήνες εξέλιξε το Phoenix και το μετέτρεψε από ένα απλό keylogger (καταγράφει πληκτρολογήσεις) σε ένα πολυ-λειτουργικό trojan κλοπής πληροφοριών (infostealer).

Οι αρχικές εκδόσεις ήταν ικανές μόνο για keylogging. Ωστόσο, οι πιο πρόσφατες εκδόσεις έχουν τη δυνατότητα να κλέβουν δεδομένα χρήστη, όπως κωδικούς πρόσβασης, από: 20 διαφορετικούς browsers, 4 διαφορετικά email clients, FTP clients και εφαρμογές.

Το πιο ανησυχητικό, όμως, είναι ότι το Phoenix διαθέτει επίσης λειτουργίες anti-AV και anti-VM, που βοηθούν στο να μείνει κρυφό, ώστε να μην μπορεί να ανιχνευτεί και να αναλυθεί.

Και οι δύο λειτουργίες προσφέρουν μια λίστα με τις διεργασίες, που θα πρέπει να τερματίσει το keylogger Phoenix, προτού συνεχίσει τις κακόβουλες δραστηριότητές του.

Η λίστα αυτή περιλαμβάνει περισσότερα από 80 γνωστά προϊόντα ασφάλειας και τεχνολογίες εικονικής μηχανής (VM). Αυτά χρησιμοποιούνται για τον εντοπισμό και την ανάλυση ύποπτων προγραμμάτων. Επομένως, η απενεργοποίησή τους είναι πολύ επικίνδυνη.

Στην παρακάτω εικόνα μπορείτε να δείτε τη λίστα με τα προϊόντα που απενεργοποιεί το keylogger Phoenix:

Τα προϊόντα ασφάλειας ανιχνεύουν τις απειλές και ειδοποιούν τους χρήστες για οποιαδήποτε ύποπτη κίνηση. Ωστόσο, εάν το Phoenix κάνει σωστά τη δουλειά του, θα καταφέρει να συλλέξει τα δεδομένα που θέλει και να τα στείλει στους hackers, χωρίς να γίνει αντιληπτό.

Κλοπή credentials

Οι ερευνητές της Cybereason θεωρούν ότι το keylogger Phoenix είναι ιδιαίτερα δημοφιλές λόγω του ότι είναι εύκολο στη χρήση. Επίσης, παρατηρήθηκε ότι χρησιμοποιείται με διαφορετική διαμόρφωση σε διαφορετικές επιθέσεις, ανάλογα με το στόχο του επιτιθέμενου.

Στις περισσότερες περιπτώσεις, ο στόχος ήταν η κλοπή πληροφοριών, η αποστολή τους στους επιτιθέμενους και η εξαφάνισή του από το σύστημα.

“Η εκτίμησή μας είναι ότι το Phoenix χρησιμοποιείται περισσότερο για μια απλή κλοπή πληροφοριών, παρά ως εργαλείο σχεδιασμένο για μακρόχρονη παρακολούθηση”, είπε ένας ερευνητής.

“Δεδομένου ότι πρόκειται για ένα εντελώς νέο κακόβουλο λογισμικό που βρίσκεται σε εξέλιξη, ενδέχεται να υπάρξει αλλαγή που θα το μετατρέψει σε ένα πιο ισχυρό εργαλείο επιτήρησης στο μέλλον».

“Όσο για την πελατεία, φαίνεται ότι οι περισσότεροι αγοραστές ενδιαφέρονται να αποκτήσουν ευαίσθητα δεδομένα που θα μπορούσαν αργότερα να πουλήσουν στις underground αγορές, κυρίως σε αυτές που σχετίζονται με credentials“, πρόσθεσε ο ερευνητής.

Το keylogger Phoenix μπορεί να κλέψει και να στείλει τα δεδομένα στους hackers μέσα σε λίγα δευτερόλεπτα. Αυτός είναι και ο λόγος που δεν χρησιμοποιείται ως εργαλείο μακρόχρονης παρακολούθησης. Παίρνει τις πληροφορίες που θέλει αμέσως.

Οι ερευνητές της Cybereason πιστεύουν ότι ο δημιουργός του keylogger Phoenix είναι επίσης δημιουργός και του Alpha Keylogger, ενός άλλου malware που έπαψε να κυκλοφορεί λίγους μήνες πριν από την κυκλοφορία του Phoenix. Οι ερευνητές συνδέουν τα δύο keyloggers, λόγω του κοινού τους κώδικα αλλά και του παρόμοιου τρόπου με τον οποίο παρουσιάζονταν στις διαφημίσεις στα  hacking forums.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS