iSpy：一款新型鍵盤記錄器現身地下黑市

近日，一款功能複雜的新型iSpy鍵盤記錄器（已更新至3.x版本），正通過某臭名昭著的地下黑客論壇進行宣傳，而其作者允許用戶按月對其惡意軟體進行訂閱以獲取最新版本。　　

Zscaler的安全專家將這款功能複雜的新型鍵盤記錄器稱之為「iSpy」。通過分析論壇廣告內容來看，這款木馬當中包含一系列常見於時下流行惡意軟體中的標準功能，是一款完美的監視工具。這款鍵盤包含有鍵盤記錄功能，外加竊取剪貼板數據以及從多種應用內提取密碼等其它功能。

其中，密碼提取功能支持從火狐、Chrome、IE、Safari、Opera、Outlook、Thunderbird、 Windows Live Mail、FileZilla、CoreFTP、Pidgin以及PalTalk等一系列應用當中盜竊密碼內容。　　

除了提取密碼，其還能夠面向多種應用實現軟體許可密鑰還原，具體包括Windows、微軟Office、SQL Server、微軟VisualStudio、Minecraft等。

iSpy的其它功能還包括，允許用戶利用本地主機文件阻止對特定網站的訪問、禁用Windows功能訪問（包括cmd.exe, Task Manager, Regedit等）以及對用戶屏幕或者通過網路攝像頭進行截圖。

為了避免被殺毒軟體所發現，當該鍵盤記錄器通過其註冊表項持續運行時，其還會新增另一註冊表項以阻止殺毒軟體的正常啟動。

與目前的大多數主流惡意軟體一樣，iSpy源代碼同樣利用多種定製化打包工具進行保護，且對最可能被偽造或者竊取的有效載荷進行數字證書籤名保護。

另外，其源代碼當中還囊括有反虛擬機與反分析追蹤機制，這就使得安全研究人員很難對其加以分析。

Zscaler發出的安全警告這樣說：「Zscaler威脅實驗室最近在我們的雲沙箱中發現了一款新型鍵盤記錄器。在博客中，我們將對這款名為iSpy的惡意商業鍵盤記錄器進行分析。這款鍵盤記錄器能夠竊取用戶密碼和屏幕截圖，監控攝像頭和剪貼板。目前該鍵盤記錄器正在地下論壇完成了多筆銷售。」

iSpy具有模塊化結構，買家可以根據自己的需求選擇功能，它還可以實現逃避檢測的功能。

一旦iSpy惡意軟體發現並收集到重要信息，其即可將所竊取數據發送至郵箱地址、FTP伺服器或者通過HTTP上傳至在線伺服器當中。

近期的惡意軟體活動趨勢主要通過垃圾郵件洪流交付惡意Java文件或者Office文檔，並以此為載體下載對應文件以傳播iSpy。用戶應當避免打開可疑郵件，從而規避此類安全威脅。

Zscaler繼續分析稱：「iSpy是通過內含惡意JavaScript或文檔附件的垃圾郵件進行傳播的，一旦點擊該郵件就會下載鍵盤記錄器負載。」

與大多數鍵盤記錄器及RAT一樣，iSpy主要用於訪問企業計算機，並通過將竊取到的數據在暗網中出售以牟取不當利益。

iSpy目前在一些地下犯罪論壇進行銷售，賣家提供了多種可供選擇的套餐。其中的青銅套餐提供一個月惡意軟體訪問權，即時激活，免費技術支持以及免費更新程序的服務，售價25美元。

iSpy還提供一種「小企業」套餐，售價35美元，包括6個月的惡意軟體訪問權以及6個月的免費技術支持和更新服務。

不過，最受歡迎的還是價值45美元的鑽石套餐，提供為期一年的惡意軟體訪問權和一年的免費技術支持和更新服務。

註：本文參考來源於securityaffairs

推薦閱讀：