iSpy键盘记录器携新版本与新攻击再度回归

iSpy作者发布3.0版本，其先进程度更胜以往。

E安全9月20日讯 就在两周之前，iSpy键盘记录器已经更新至3.x版本，而此时距离其上一版本被网络安全厂商发现并未过去多久。

iSpy目前正通过某臭名昭著的地下黑客论坛进行宣传，而其作者允许用户按月对其恶意软件进行订阅以获取最新版本。

iSpy自转型为键盘记录器以来一直在恶意人士群体中拥有可观人气，而其上一轮活动曾于今年5月被Proofpoint公司所发现。

截至撰稿之时，iSpy主页已经下线，不过根据Zscaler安全研究人员最近报道的几项感染事件，其应该已经完成了多笔销售。

iSpy提供一款builder外加后端控制面板

根据目前的情况来看，这款恶意软件背后的开发者昵称为CorelMASTERX，且有能力将其轻松转换为完全成熟的RAT。

根据Zscaler的分析以及论坛广告内容来看，这款木马当中包含一系列常见于时下流行恶意软件中的标准功能。

对于新手而言，iSpy提供强制性builder选项，允许买家编译自己的恶意软件版本，从而仅将必要的数据窃取功能纳入编译结果以实现版本“瘦身”。

另外，其还提供一套自安装后端面板，允许攻击者从受害者处接收并查看数据，同时发出新的命令。

iSpy后端面板

这款键盘自然也包含有键盘记录功能，外加窃取剪贴板数据以及从多种应用内提取密码等其它功能。

根据以下信息图表所示，其密码提取功能支持从火狐、Chrome、IE、Safari、Opera、Outlook、Thunderbird、Windows Live Mail、FileZilla、CoreFTP、Pidgin以及PalTalk等一系列应用当中盗窃密码内容。

除了提取密码，其还能够面向多种应用实现软件许可密钥还原，具体包括Windows、微软Office、SQL Server、微软Visual Studio、Minecraft等等。

另外，其中还包含能够从RuneEscape中窃取PIN码以及自Skype内提取通话记录的功能。

iSpy builder

iSpy提供强大的反杀毒软件功能

其它iSpy功能允许用户利用本地主机文件阻止对特定网站的访问、禁用Windows功能访问（包括cmd.exe, Task Manager, Regedit等等）以及对用户屏幕或者通过网络摄像头进行截图。

为了避免被杀毒软件所发现，当该键盘记录器通过其注册表项持续运行时，其还会新增另一注册表项以阻止杀毒软件的正常启动。

与目前的大多数主流恶意软件一样，iSpy源代码同样利用多种定制化打包工具进行保护，且对最可能被伪造或者窃取的有效载荷进行数字证书签名保护。

另外，其源代码当中还囊括有反虚拟机与反分析追踪机制，这就使得安全研究人员很难对其加以分析。

只要作者愿意，iSpy完全能够将信息泄露至RAT

一旦iSpy恶意软件发现并收集到重要信息，其即可将所窃取数据发送至邮箱地址、FTP服务器或者通过HTTP上传至在线服务器当中。

更有趣的是，iSpy还包含一款文件下载工具。如果恶意人士希望添加更多操作系统层级的交互功能，那么这款工具可在今年年底之前全面升级为RAT方案。

近期的恶意软件活动趋势主要通过垃圾邮件洪流交付恶意JavaScript文件或者Office文档，并以此为载体下载对应文件以传播iSpy。用户应当避免打开可疑邮件，从而规避此类安全威胁。

与大多数键盘记录器及RAT一样，iSpy主要用于访问企业计算机，并通过将窃取到的数据在暗网中出售以牟取不当利益。

备注：通过以下信息图表可以看到，作者CorelMASTERX宣称iSpy“仅供用作教育用途。”但实际情况显然并非如此。这是一款如假包换的恶意软件。最近几年以来，众多恶意软件作者开始走上高端路线，并强调他们开发的软件是为了实现正义与保护效果。然而，他们在地下黑客论坛中宣传自有工具的作法已经暴露了其真实意图。

iSpy功能概述

E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。