Categories: SicherheitVirus

Windows-Keylogger Phoenix schaltet Sicherheitssoftware ab

Der Sicherheitsanbieter Cybereason hat den erstmals im Juli in einem Hacker-Forum aufgetauchten Windows-Keylogger Phoenix analysiert. Demnach wurde die Schadsoftware in den vergangenen Monaten kontinuierlich weiterentwickelt. Sie ist nicht nur mit zahlreichen Funktionen für den Datendiebstahl ausgestattet, sondern auch mit Mechanismen, um sich gegen Antivirensoftware zu wehren oder dieser zumindest auszuweichen.

Zuletzt entdeckten die Forscher alle paar Wochen neue Kampagnen zur Verbreitung von Phoenix. Hinter dem Keylogger vermuten sie einen erfahrenen Malware-Autoren, der in den vergangenen Monaten Phoenix von einem einfachen Keylogger zu einem Infostealer weiterentwickelte. Während früher Versionen lediglich Tastatureingaben aufzeichnen konnten, ist Phoenix nun in der Lage, Nutzerdaten wie Passwörter aus 20 verschiedenen Browsern und 4 verschiedenen E-Mail-Clients sowie FTP-Anwendungen und Chat-Programmen zu sammeln.

In ihrem Bericht beschreiben sie aber auch ein neues Anti-AV-Modul, das versucht, die Prozesse von mehr als 80 verschiedenen Sicherheitsprodukten zu beenden. Es enthält vorgegebene Prozessnamen, die Phoenix versucht abzuschalten, bevor es seine Aktivitäten fortsetzt.

Zwar verfügen kommerzielle Sicherheitsanwendungen über Schutzfunktionen, die Nutzer mindestens über derartige unerwünschte Eingriffe informieren, sollte Phoenix jedoch erfolgreich sein, führt die Malware ihre Datensammlung aus und überträgt die Informationen an ihre Hintermänner. Dafür werden FTP-Server, SMTP-Server oder sogar ein Telegram-Channel benutzt.

Zu seiner zunehmenden Verbreitung soll den Forschern zufolge auch das einfache User-Interface beitragen, das es einem Käufer der Schadsoftware erlaubt, sie an eigene Bedürfnisse anzupassen. Inzwischen werde Phoenix weltweit eingesetzt, in unterschiedlichsten Konfigurationen.

Häufig sollen Cyberkriminelle jedoch darauf verzichten, Phoenix so einzurichten, dass der Keylogger auch noch nach einem Systemneustart aktiv ist. Auf diese Art verschwinde die Schadsoftware mit dem nächsten Reboot von Windows. Es sei aber nicht ausgeschlossen, dass Phoenix künftig auch für eine dauerhafte Überwachung von Nutzern eingesetzt werde.

„Was die Kundschaft betrifft, so scheint es, dass die meisten Käufer daran interessiert sind, vertrauliche Daten zu erhalten, die sie später auf den Underground-Märkten verkaufen können, vor allem in den Credential-Selling-Communities“, sagte Assaf Dahan, Senior Director bei Cybereason. Solche Daten ließen sich in wenigen Sekunden extrahieren, weswegen Phoenix darauf verzichten könne, einen Neustart zu überleben.

Dahan wies aber auch darauf hin, dass dieser Verzicht das Aufspüren von Phoenix-Infektionen erschwert. Ohne umfassende Logging-Funktionen, die sie normalerweise nur in Unternehmen anzutreffen seien, sei es nahezu unmöglich, Phoenix aufzuspüren.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Risiken im Blick: Dark Web Monitoring für Unternehmen

Illegale Marktplätze, Foren und Chats – im Kampf gegen Cyberkriminelle ist das Deep und Dark Web als Informationsquelle alles andere…

22 Stunden ago

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen…

23 Stunden ago

HPE unterstützt höhere Nachfrage nach virtuellen Arbeitsplätzen

Kunden stehen neue Finanzierungsoptionen zur Verfügung. Dazu gehören Kurzzeitmieten und ein befristeter Zahlungsaufschub. Vorkonfigurierte VDI-Lösungen sollen die Einführung virtueller Arbeitsplätze…

1 Tag ago

IDC: COVID-19 lässt weltweite IT-Ausgaben voraussichtlich um 2,7 Prozent schrumpfen

Besonders hart soll die Corona-Krise die Nachfrage nach PCs, Tablets und Smartphones treffen. Auch in den Bereichen Software und IT-Services…

1 Tag ago

Bis zu 5,3 GHz: Intel stellt neue Mobilprozessoren vor

Sie richten sich an Spieler und Entwickler. Intel verspricht einen Leistungszuwachs von bis zu 44 Prozent im Vergleich zu einem…

1 Tag ago

Microsoft verschiebt Support-Ende für TLS 1.0 und 1.1

Die veralteten Verschlüsselungsprotokolle erhalten aufgrund der Corona-Krise eine Gnadenfrist. Edge Chromium unterstützt sie noch mindestens bis Juli, Internet Explorer und…

2 Tagen ago