La détection de Phoenix :

Fin juillet 2019, la plateforme Cybereason a détecté un échantillon de logiciel malveillant, classé dans un premier temps comme Agent Tesla par les outils antivirus. Après une analyse affinée, Cybereason a déterminé que le logiciel, nommé Phoenix keylogger, était complètement nouveau et jamais documenté.
Lors de recherches sur le Darkweb, Cybereason a ainsi appris que le Phoenix était apparu pour la première fois à la fin du mois de juillet 2019, qu’il suivait le modèle « Malware-as-a Service » et qu’il était vendu par un membre de la communauté nommé Illusion, pour 14,99$ par mois.
Le fait qu’un nouveau membre commence à marketer et vendre son produit dès son arrivée sur le Darkweb, est assez inhabituel étant donné que la communauté informatique clandestine applique généralement une politique stricte de filtrage de ses membres.

Les principaux enseignements de l’enquête :

 ? Vole des données de plusieurs sources : Phoenix fonctionne selon le modèle « Malware-as-a-Service » et vole des informations personnelles de près de 20 navigateurs différents, de quatre clients e-mail différents, de clients FTP et de clients de messagerie instantanée.

 ? Tente de bloquer plus de 80 produits de sécurité : Outre ces fonctions de vol d’informations, Phoenix dispose de plusieurs mécanismes de défense et d’évasion pour éviter les analyses et les détections, dont un module anti-AV qui tente de terminer les processus de plus de 80 produits de sécurité et outils d’analyse différents.

 ? Attaque des cibles réparties sur différents continents : Bien que Phoenix ait fait son apparition en juillet 2019, il a déjà pris pour cible près de 10 000 victimes aux quatre coins de l’Amérique du Nord, au Royaume Uni, en France, en Allemagne et dans d’autres pays d’Europe et du Moyen-Orient. Il est fort probable que d’autres régions seront prochainement touchées à mesure que sa popularité grandit.

 ? Exfiltre les données via Telegram : Phoenix offre des protocoles d’exfiltration SMTP et FTP communs, mais prend également en charge l’exfiltration de données via Telegram. Telegram, une application de messagerie instantanée très populaire dans le monde, est utilisée par les cybercriminels en raison de sa légitimité et de son chiffrement de bout en bout.

 ? Le même auteur que le keylogger Alpha : Phoenix a clairement été créé par la même équipe à l’origine du keylogger Alpha, qui a disparu plus tôt cette année.

 ? « Logiciel malveillant pour le peuple » : Ce travail de recherche révèle la popularité grandissante du modèle « Malware-as-a-Service » (MaaS) au sein de l’écosystème de la cybercriminalité. Les auteurs de logiciels malveillants développent désormais des logiciels malveillants faciles à utiliser par un tiers, livrés avec un service technique et à un prix concurrentiel.

Assaf Dahan, Sr. Director, Threat Research Lead de Cybereason explique : « À l’aube de 2020, nous nous attendons à ce que de nombreux cybercriminels moins avancés tirent parti du MaaS pour commettre un acte de cybercrime, en particulier une fois que les auteurs de MaaS entrent en concurrence les uns avec les autres pour proposer l’offre la plus impressionnante. Après notre analyse du malware Raccoon en octobre, cette nouvelle enquête nous démontre que ce modèle du as-a-service gagne très rapidement en popularité ».