iSpy作者发布3.0版本,其先进程度更胜以往。
E安全9月20日讯 就在两周之前,iSpy键盘记录器已经更新至3.x版本,而此时距离其上一版本被网络安全厂商发现并未过去多久。
iSpy目前正通过某臭名昭著的地下黑客论坛进行宣传,而其作者允许用户按月对其恶意软件进行订阅以获取最新版本。
iSpy自转型为键盘记录器以来一直在恶意人士群体中拥有可观人气,而其上一轮活动曾于今年5月被Proofpoint公司所发现。
截至撰稿之时,iSpy主页已经下线,不过根据Zscaler安全研究人员最近报道的几项感染事件,其应该已经完成了多笔销售。
根据目前的情况来看,这款恶意软件背后的开发者昵称为CorelMASTERX,且有能力将其轻松转换为完全成熟的RAT。
根据Zscaler的分析以及论坛广告内容来看,这款木马当中包含一系列常见于时下流行恶意软件中的标准功能。
对于新手而言,iSpy提供强制性builder选项,允许买家编译自己的恶意软件版本,从而仅将必要的数据窃取功能纳入编译结果以实现版本“瘦身”。
另外,其还提供一套自安装后端面板,允许攻击者从受害者处接收并查看数据,同时发出新的命令。
iSpy后端面板
这款键盘自然也包含有键盘记录功能,外加窃取剪贴板数据以及从多种应用内提取密码等其它功能。
根据以下信息图表所示,其密码提取功能支持从火狐、Chrome、IE、Safari、Opera、Outlook、Thunderbird、Windows Live Mail、FileZilla、CoreFTP、Pidgin以及PalTalk等一系列应用当中盗窃密码内容。
除了提取密码,其还能够面向多种应用实现软件许可密钥还原,具体包括Windows、微软Office、SQL Server、微软Visual Studio、Minecraft等等。
另外,其中还包含能够从RuneEscape中窃取PIN码以及自Skype内提取通话记录的功能。
iSpy builder
其它iSpy功能允许用户利用本地主机文件阻止对特定网站的访问、禁用Windows功能访问(包括cmd.exe, Task Manager, Regedit等等)以及对用户屏幕或者通过网络摄像头进行截图。
为了避免被杀毒软件所发现,当该键盘记录器通过其注册表项持续运行时,其还会新增另一注册表项以阻止杀毒软件的正常启动。
与目前的大多数主流恶意软件一样,iSpy源代码同样利用多种定制化打包工具进行保护,且对最可能被伪造或者窃取的有效载荷进行数字证书签名保护。
另外,其源代码当中还囊括有反虚拟机与反分析追踪机制,这就使得安全研究人员很难对其加以分析。
一旦iSpy恶意软件发现并收集到重要信息,其即可将所窃取数据发送至邮箱地址、FTP服务器或者通过HTTP上传至在线服务器当中。
更有趣的是,iSpy还包含一款文件下载工具。如果恶意人士希望添加更多操作系统层级的交互功能,那么这款工具可在今年年底之前全面升级为RAT方案。
近期的恶意软件活动趋势主要通过垃圾邮件洪流交付恶意JavaScript文件或者Office文档,并以此为载体下载对应文件以传播iSpy。用户应当避免打开可疑邮件,从而规避此类安全威胁。
与大多数键盘记录器及RAT一样,iSpy主要用于访问企业计算机,并通过将窃取到的数据在暗网中出售以牟取不当利益。
备注:通过以下信息图表可以看到,作者CorelMASTERX宣称iSpy“仅供用作教育用途。”但实际情况显然并非如此。这是一款如假包换的恶意软件。最近几年以来,众多恶意软件作者开始走上高端路线,并强调他们开发的软件是为了实现正义与保护效果。然而,他们在地下黑客论坛中宣传自有工具的作法已经暴露了其真实意图。
iSpy功能概述
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。