两周前iSpy键盘记录器发布更新版本3.x,这距离上次被网络安全公司发现没过多久。
iSpy目前正在一个臭名昭著的地下黑客论坛宣传,被不法分子用于制作恶意软件。据 Proofpoint五月份的调查显示,iSpy是不法分子最常用的键盘记录器。
目前,iSpy的官网虽然已经下线,但Zscaler的安全研究人员认为交易仍在进行,因为报告显示最新的版本出现在感染事件中。
iSpy具有生成器(builder)和后台控制面板
目前根据Zscaler的分析和论坛的观察,这款木马具有一些在线出售的顶级恶意软件的标准功能。
首先,iSpy可以允许买家自己编译只有数据窃取功能的恶意软件版本,以最大化其有效负载。
其次,它有一个自安装的后台控制面板,方便攻击者接收和访问受害者的数据,发布新的命令。
iSpy具有典型的键盘记录功能,但也有其他功能如窃取剪贴板数据,转储不同应用程序的密码。应用程序包括Firefox、Chrome、IE、 Safari、Opera、Outlook、Thunderbird、Windows Live Mail、FileZilla、CoreFTP、Pidgin、PalTalk等等。
除了窃取密码,它还具有恢复软件license key的功能,例如Windows、Microsoft Office、SQL Server、Microsoft Visual Studio、Minecraft等。
此外,还能偷取RuneEscape存储PIN,以及窃取Skype聊天记录。
iSpy可以逃过杀毒软件的扫描
iSpy其他的功能还有:使用本地主机文件访问特定的网站,访问Windows功能(cmd.exe、任务管理器、注册表编辑器等),对用户的屏幕进行截屏,或者访问网络摄像头。
为了避免杀毒软件的检测,iSpy通过增加注册表项阻止杀毒软件启动。
另外,其代码中还包含多个反杀毒软件和反分析技术,使得安全研究人员的分析难度增加。
iSpy可能会成为一个RAT木马
一旦iSpy找到并收集到它需要的信息,它就可以将偷取的信息泄露到相应的电子邮件地址、FTP服务器,或者通过HTTP上载到一个在线服务器。
更有趣的是它还有文件下载的功能,如果它的编写者能够成功添加更多的系统级交互功能,到年底很可能会成为一个RAT木马。
最近iSpy通过垃圾电子邮件进行传播,邮件中带有安装了键盘记录器的恶意JavaScript文件或office文档。为了安全起见,用户应当避免打开不请自来的电子邮件。
iSpy主要用于访问公司的电脑,窃取到的数据很容易在暗网获利。
长按二维码,关注“代码卫士”
您的专属代码体检专家