GETOVERX FORUM Community Support   ›   Malware Docs   ›   Keyloggers   ›   KEYLOGGER – Phoenix Keylogger

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
KEYLOGGER – Phoenix Keylogger
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:56 PM (This post was last modified: 12-07-2025, 04:49 PM by mrwebfeeder.)
Nombre: Phoenix

Categoría: Keylogger / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de 2019 (campañas activas en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- Malware tipo keylogger + stealer enfocado en robar información sensible del usuario.
- Robo de credenciales:
- Extrae usuarios y contraseñas de:
- Navegadores web (credenciales guardadas).
- Clientes de correo, FTP/VPN, mensajería y otras aplicaciones.
- Robo de cookies y sesiones de navegador:
- Roba cookies de sesión para:
- Secuestrar sesiones activas en sitios web (correo, redes sociales, paneles de administración).
- Evitar necesidad de conocer la contraseña si la sesión sigue válida.
- Keylogging:
- Registra pulsaciones de teclado para capturar:
- Credenciales introducidas manualmente.
- Mensajes de chat/correo.
- Cualquier texto escrito en formularios y aplicaciones.
- Exfiltración de datos robados:
- Envía la información recopilada a un servidor de mando y control (C2) usando canales cifrados o camuflados.
- Puede usar HTTP/HTTPS, Telegram/API web u otros mecanismos comunes en stealers modernos.
- “Archivos que infecta”:
- No cifra archivos ni se replica por ficheros como un virus clásico.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (clientes FTP/VPN/correo).
- Archivos temporales donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a una copia del ejecutable del stealer en rutas de usuario (AppData/Roaming).
- Carpeta de Inicio (Startup):
- Puede colocar accesos directos o copias del binario en la carpeta de Inicio del usuario para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que ejecutan el malware en el arranque o en intervalos regulares para garantizar persistencia.
- Camuflaje de binarios:
- Guarda el ejecutable con nombres que imitan procesos legítimos del sistema o software común.
- Ocasionalmente:
- Puede aprovechar herramientas de administración remota ya presentes para mantenerse en el entorno o recolocarse.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3cfe04eccf95a9bbed6146efb4c39c57e6a48dc97d578b21c7b9a5ccbb4b0205

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo del sistema con firmas actualizadas para localizar:
    - El binario de Phoenix (keylogger/stealer).
    - Cualquier dropper o instalador que lo haya introducido en el sistema.
    - Priorizar el análisis de:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde se almacenen herramientas descargadas de Internet.
    - Poner en cuarentena:
    - Ejecutables que coincidan con firmas AV o reglas YARA específicas de Phoenix.
    - Ficheros asociados a su cadena de infección (scripts, loaders, empaquetadores).

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Conexiones salientes hacia dominios/IPs desconocidos que no formen parte de la operación normal.
    - Tráfico HTTP/HTTPS saliente generado por procesos no habituales (especialmente desde rutas de usuario).
    - Crear reglas para:
    - Bloquear destinos identificados como C2 o utilizados por stealers (según IOC disponibles).
    - Limitar el acceso a Internet de procesos recién instalados hasta ser validados.
    - Aislar temporalmente el host si se detecta:
    - Exfiltración activa de credenciales.
    - Patrones de comunicación repetitiva con C2 sospechosos.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para Phoenix (keylogger/stealer), enfocar en:
    - Acceso masivo a almacenes de credenciales:
    - Detectar procesos que:
    - Acceden de forma intensiva a bases de datos de navegadores (Logins, cookies, WebData).
    - Enumeran archivos de configuración de clientes FTP/VPN/correo.
    - Keylogging y captura de entrada/sesión:
    - Monitorizar usos sospechosos de APIs de teclado y hooks de entrada global.
    - Persistencia sospechosa:
    - Creación o modificación de claves Run/RunOnce apuntando a ejecutables fuera de Program Files.
    - Creación de tareas programadas ejecutando binarios en AppData/Temp.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de stealer/keylogger.
    - Bloquear el hash detectado en futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, usuario, recurso accedido) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos de correo ejecutables o empaquetados (ZIP/RAR) que procedan de remitentes no confiables.
    - Instaladores y herramientas “gratuitas” o cracks, ya que muchos stealers se distribuyen así.
    - Observar si el ejecutable:
    - Intenta leer credenciales almacenadas en navegadores y aplicaciones.
    - Implementa hooks de teclado o accede de forma repetida al portapapeles.
    - Establece conexiones salientes a dominios desconocidos para enviar datos capturados.
    - Si se confirma comportamiento de stealer/keylogger:
    - Bloquear la distribución de dicho archivo en la red.
    - Añadir sus hashes y patrones como indicadores de compromiso (IOC) internos.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Específicamente para un stealer como Phoenix:
    - Forzar el cambio de todas las credenciales que hayan podido estar almacenadas o introducidas en el equipo:
    - Correo, redes sociales, banca en línea.
    - VPN, paneles de hosting, accesos de administración interna.
    - Revisar inicios de sesión sospechosos:
    - IPs y países inusuales.
    - Accesos en horarios anómalos.
    - Activar MFA allí donde sea posible para limitar el impacto de credenciales robadas.
    - Verificar que no se hayan instalado herramientas de acceso remoto adicionales (RAT, RDP expuesto, etc.) como resultado de la filtración de credenciales.

Notas opcionales:
- Phoenix representa la categoría de keyloggers/stealers modernos vendidos como “Malware-as-a-Service”; su verdadero impacto se mide por la cantidad de cuentas y accesos comprometidos, más que por daños visibles en el sistema.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)