Au travers de ces différentes enquêtes, Cybereason, d’origine israélienne et créateur de « Defense Platform », note la popularité grandissante du modèle « Malware-as-a-Service » (MaaS) au sein de l’écosystème de la cybercriminalité.
Assaf Dahan, Sr. Director, Threat Research Lead de Cybereason, explique : « À l’aube de 2020, nous nous attendons à ce que de nombreux cybercriminels moins avancés tirent parti du MaaS pour commettre un acte de cybercrime, en particulier une fois que les auteurs de MaaS entrent en concurrence les uns avec les autres pour proposer l’offre la plus impressionnante. ».
Après avoir analysé le malware Raccoon en octobre, l’expert en cybersécurité s’est attaqué cette fois-ci à Phoenix, un nouveau logiciel espions keylogger. « Cette nouvelle enquête nous démontre que ce modèle du as a service gagne très rapidement en popularité ».
Un service vendu moins de 15 $ pour un mois
Créé par les auteurs du keylogger Alpha et vendu pour 14,99 $ pour un mois, Phoenix a déjà fait plus de 10 000 victimes depuis juillet 2019, indique-t-il, en Amérique du Nord, au Royaume-Uni, en France, en Allemagne et dans d’autres pays d’Europe et du Moyen-Orient.
Cet enregistreur de frappes de clavier, « nouveau et non documenté », est doté d’une myriade de fonctions de vol d’informations. Il vole des informations personnelles de près de 20 navigateurs différents, de quatre clients e-mail différents, de clients FTP et de clients de messagerie instantanée. Phoenix offre des protocoles d’exfiltration SMTP et FTP communs, mais prend également en charge l’exfiltration de données via la messagerie instantanée chiffrée Telegram. Outre ces fonctions de vol d’informations, Phoenix dispose de plusieurs mécanismes de défense et d’évasion pour éviter les analyses et les détections, dont un module anti-AV qui tente de terminer les processus de plus de 80 produits de sécurité et outils d’analyse différents.
Il est fort probable que d’autres régions seront prochainement touchées à mesure que sa popularité grandit, estime le spécialiste, qui conclut : « Les auteurs de logiciels malveillants développent désormais des logiciels malveillants faciles à utiliser par un tiers, livrés avec un service technique et à un prix concurrentiel. »
