En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Cybereason dévoile une étude exclusive sur le nouveau malware keylogger, Phoenix

Publication: 22 novembre

Partagez sur
 
Créé par les auteurs du keylogger Alpha et vendu selon le modèle du « Malware-as-a-Service » pour 14,99$ par mois, Phoenix a déjà fait plus de 10 000 victimes depuis juillet 2019...
 

L’équipe de recherches Nocturnus de Cybereason, dévoile une analyse détaillée, sur un nouveau logiciel espion keylogger, à la popularité croissante chez les cybercriminels. Cet enregistreur de frappe, appelé Phoenix, a fait son apparition en juillet 2019 et est doté d’une myriade de fonctions de vol d’informations. Ces fonctions vont bien plus loin que le simple enregistrement des frappes de clavier, à tel point que Nocturnus le classe parmi les logiciels voleurs d’informations. A travers cette analyse, Cybereason explique plusieurs aspects de Phoenix : sa perception dans la communauté clandestine, son analyse technique et la parenté de Phoenix avec un keylogger récemment disparu, « Alpha ».

La détection de Phoenix

Fin juillet 2019, la plateforme Cybereason a détecté un échantillon de logiciel malveillant, classé dans un premier temps comme Agent Tesla par les outils antivirus. Après une analyse affinée, Cybereason a déterminé que le logiciel, nommé Phoenix keylogger, était complètement nouveau et jamais documenté.

Lors de recherches sur le Darkweb, Cybereason a ainsi appris que le Phoenix était apparu pour la première fois à la fin du mois de juillet 2019, qu’il suivait le modèle « Malware-as-a Service » et qu’il était vendu par un membre de la communauté nommé Illusion, pour 14,99$ par mois.

Le fait qu’un nouveau membre commence à marketer et vendre son produit dès son arrivée sur le Darkweb, est assez inhabituel étant donné que la communauté informatique clandestine applique généralement une politique stricte de filtrage de ses membres.

Les principaux enseignements de l’enquête

- Vole des données de plusieurs sources : Phoenix fonctionne selon le modèle « Malware-as-a-Service » et vole des informations personnelles de près de 20 navigateurs différents, de quatre clients e-mail différents, de clients FTP et de clients de messagerie instantanée.

- Tente de bloquer plus de 80 produits de sécurité : Outre ces fonctions de vol d’informations, Phoenix dispose de plusieurs mécanismes de défense et d’évasion pour éviter les analyses et les détections, dont un module anti-AV qui tente de terminer les processus de plus de 80 produits de sécurité et outils d’analyse différents.

- Attaque des cibles réparties sur différents continents : Bien que Phoenix ait fait son apparition en juillet 2019, il a déjà pris pour cible près de 10 000 victimes aux quatre coins de l’Amérique du Nord, au Royaume Uni, en France, en Allemagne et dans d’autres pays d’Europe et du Moyen-Orient. Il est fort probable que d’autres régions seront prochainement touchées à mesure que sa popularité grandit.

- Exfiltre les données via Telegram : Phoenix offre des protocoles d’exfiltration SMTP et FTP communs, mais prend également en charge l’exfiltration de données via Telegram. Telegram, une application de messagerie instantanée très populaire dans le monde, est utilisée par les cybercriminels en raison de sa légitimité et de son chiffrement de bout en bout.

- Le même auteur que le keylogger Alpha : Phoenix a clairement été créé par la même équipe à l’origine du keylogger Alpha, qui a disparu plus tôt cette année.

- « Logiciel malveillant pour le peuple » : Ce travail de recherche révèle la popularité grandissante du modèle « Malware-as-a-Service » (MaaS) au sein de l’écosystème de la cybercriminalité. Les auteurs de logiciels malveillants développent désormais des logiciels malveillants faciles à utiliser par un tiers, livrés avec un service technique et à un prix concurrentiel.

Assaf Dahan, Sr. Director, Threat Research Lead de Cybereason explique : « À l’aube de 2020, nous nous attendons à ce que de nombreux cybercriminels moins avancés tirent parti du MaaS pour commettre un acte de cybercrime, en particulier une fois que les auteurs de MaaS entrent en concurrence les uns avec les autres pour proposer l’offre la plus impressionnante. Après notre analyse du malware Raccoon en octobre, cette nouvelle enquête nous démontre que ce modèle du as-a-service gagne très rapidement en popularité ».

http://www.cybereason.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: