Der Sicherheitsanbieter Cybereason hat den erstmals im Juli in einem Hacker-Forum aufgetauchten Windows-Keylogger Phoenix analysiert. Demnach wurde die Schadsoftware in den vergangenen Monaten kontinuierlich weiterentwickelt. Sie ist nicht nur mit zahlreichen Funktionen für den Datendiebstahl ausgestattet, sondern auch mit Mechanismen, um sich gegen Antivirensoftware zu wehren oder dieser zumindest auszuweichen.
In ihrem Bericht beschreiben sie aber auch ein neues Anti-AV-Modul, das versucht, die Prozesse von mehr als 80 verschiedenen Sicherheitsprodukten zu beenden. Es enthält vorgegebene Prozessnamen, die Phoenix versucht abzuschalten, bevor es seine Aktivitäten fortsetzt.
Zwar verfügen kommerzielle Sicherheitsanwendungen über Schutzfunktionen, die Nutzer mindestens über derartige unerwünschte Eingriffe informieren, sollte Phoenix jedoch erfolgreich sein, führt die Malware ihre Datensammlung aus und überträgt die Informationen an ihre Hintermänner. Dafür werden FTP-Server, SMTP-Server oder sogar ein Telegram-Channel benutzt.
Zu seiner zunehmenden Verbreitung soll den Forschern zufolge auch das einfache User-Interface beitragen, das es einem Käufer der Schadsoftware erlaubt, sie an eigene Bedürfnisse anzupassen. Inzwischen werde Phoenix weltweit eingesetzt, in unterschiedlichsten Konfigurationen.
Häufig sollen Cyberkriminelle jedoch darauf verzichten, Phoenix so einzurichten, dass der Keylogger auch noch nach einem Systemneustart aktiv ist. Auf diese Art verschwinde die Schadsoftware mit dem nächsten Reboot von Windows. Es sei aber nicht ausgeschlossen, dass Phoenix künftig auch für eine dauerhafte Überwachung von Nutzern eingesetzt werde.
„Was die Kundschaft betrifft, so scheint es, dass die meisten Käufer daran interessiert sind, vertrauliche Daten zu erhalten, die sie später auf den Underground-Märkten verkaufen können, vor allem in den Credential-Selling-Communities“, sagte Assaf Dahan, Senior Director bei Cybereason. Solche Daten ließen sich in wenigen Sekunden extrahieren, weswegen Phoenix darauf verzichten könne, einen Neustart zu überleben.
Dahan wies aber auch darauf hin, dass dieser Verzicht das Aufspüren von Phoenix-Infektionen erschwert. Ohne umfassende Logging-Funktionen, die sie normalerweise nur in Unternehmen anzutreffen seien, sei es nahezu unmöglich, Phoenix aufzuspüren.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…