skip to Main Content

Cyber Security, torna Phoenix ed è più “cattivo”

Cyber Security, Torna Phoenix Ed è Più “cattivo”

Cybereason: Phoenix è tornato e da keylogger si è trasformato in trojan, grazie a nuove funzionalità

Phoenix, un keylogger che ruba informazioni alle vittime, è tornato ed è più “cattivo”. Lo hanno scoperto i ricercatori di cyber security di Cybereason. Il malware era comparso per la prima volta a luglio 2019 in un forum underground e da allora si è evoluto. tanto che oggi è diventato un trojan in grado di reperire credenziali e altre informazioni sensibili archiviate localmente sul computer dei bersagli. In particolare, può acquisire dati da Browser (Chrome, Firefox, Opera, Vivaldi, Brave, Blisk, Epic, browser Avast, SRware Iron, Comodo, Torch, Slimjet, browser UC, Orbitum, Coc Coc, QQ Browser, 360 Browser, Liebao), da Client di posta (Outlook, Thunderbird, Seamonkey, Foxmail), Client FTP (Filezilla) e di chat (Pidgin).

Le funzionalità del malware secondo gli esperti di cyber security. Per ora l’Italia non è stata colpita, ma non è escluso che non lo sia in futuro

Secondo gli esperti di cyber security, Phoenix inoltre è in grado di operare come un Keylogger, catturare immagini dello schermo, filtrare dati tramite SMTP, FTP o Telegram, fungere da downloader per scaricare malware aggiuntivi e da Modulo AV-Killer e Anti-VM. Queste ultime, peraltro, consentono al codice malevolo di sfuggire alle analisi e al rilevamento degli antivirus. Infine, è in grado bloccare i processi di oltre 80 diversi prodotti di sicurezza. Al momento il codice di mira vittime in tutto il Nord America, Regno Unito, Francia, Germania, altre parti d’Europa e del Medio Oriente. L’Italia non sembra essere toccata, ma il CERT-PA monitorare la situazione, per prevenire e contrastare eventuali attacchi contro obiettivi nel nostro paese.

Come opera Phoenix

Phoenix viene veicolato tramite classiche email di phishing con un file allegato. Quest’ultimo non contiene una macro malevola ma utilizza un exploit (nella maggior parte dei casi sfrutta la vulnerabilità censita con il CVE-2017-11882). Il malware procede con la raccolta delle informazioni sul sistema operativo, sull’hardware, sui processi in esecuzione, sugli utenti e sull’IP esterno. Inoltre, memorizza le informazioni in memoria e le restituisce direttamente agli aggressori, senza scriverle sul disco.

Back To Top