Phoenix, il nuovo keylogger che ruba informazioni

20/11/2019

keylogger Phoenix trojan

 

 

Phoenix è comparso per la prima volta a fine luglio 2019 in un apposito forum underground. I ricercatori di Cybereason Nocturnus hanno analizzato l’evoluzione dal malware che da semplice keylogger si è evoluto in un trojan in grado di reperire credenziali e altre informazioni sensibili archiviate localmente sul computer.

Più specificatamente Phoenix è in grado di carpire informazioni da Browser (Chrome, Firefox, Opera, Vivaldi, Brave, Blisk, Epic, browser Avast, SRware Iron, Comodo, Torch, Slimjet, browser UC, Orbitum, Coc Coc, QQ Browser, 360 Browser, Liebao), da Client di posta (Outlook, Thunderbird, Seamonkey, Foxmail), Client FTP (Filezilla) e da Client di chat (Pidgin).

Inoltre ha le seguenti funzioanlità:

  • Keylogger;
  • Cattura schermo;
  • Filtraggio dei dati tramite SMTP, FTP o Telegram;
  • Downloader (per scaricare un malware aggiuntivo)
  • Modulo AV-Killer e Anti-VM.

Queste ultime funzionalità consentono sfuggire alle analisi ed al rilevamento degli antivirus. Inoltre è in grado bloccare i processi di oltre 80 diversi prodotti di sicurezza.

Come di consueto, viene veicolato tramite classiche email di phishing con un file allegato. Quest’ultimo non contiene una macro dannosa ma utilizza un exploit, nella maggior parte dei casi sfrutta la vulnerabilità censita con il CVE-2017-11882. Phoenix procede con la raccolta delle informazioni sul sistema operativo, sull’hardware, sui processi in esecuzione, sugli utenti e sull’IP esterno. Phoenix memorizza le informazioni in memoria e le restituisce direttamente agli aggressori, senza scriverle sul disco.

Conclusioni

Nonostante Phoenix sia stato rilasciato a luglio 2019, ha già preso di mira vittime in tutto il Nord America, Regno Unito, Francia, Germania, altre parti d’Europa e del Medio Oriente. Al momento non ci sono evidenze di attacchi in Italia. Il Cert-Pa continua a monitorare la diffusione, eventuali altre evidenze saranno comunicate.