نسخة مختلفة من Snake Keylogger
يستهدف إصدار جديد من Snake Keylogger مستخدمي Windows في الصين وتركيا وإندونيسيا وتايوان وأسبانيا بشكل نشط. وقد تتبع الباحثون هذا الإصدار الجديد وربطوه بـ 280 مليون محاولة إصابة على مستوى العالم منذ بداية العام، وهو ما يسلط الضوء على تأثيره الواسع النطاق.
جدول المحتويات
فخ التصيد: كيف ينتشر برنامج Snake Keylogger
تظل الطريقة الأساسية لتوصيل Snake Keylogger هي رسائل البريد الإلكتروني الاحتيالية المضمنة بمرفقات أو روابط تهديدية. يتمكن البرنامج الخبيث من الوصول إلى أنظمة المستخدمين غير المنتبهين بمجرد تفاعلهم مع هذه الرسائل الإلكترونية الخادعة. ويركز على جمع البيانات الحساسة من متصفحات الويب المستخدمة على نطاق واسع مثل Chrome وEdge وFirefox. ويحقق ذلك من خلال تسجيل ضغطات المفاتيح والتقاط بيانات اعتماد تسجيل الدخول ومراقبة نشاط الحافظة.
استخراج البيانات من خلال قنوات غير تقليدية
لا يتوقف Snake Keylogger عند جمع المعلومات، بل يضمن وصول البيانات المسروقة إلى المهاجمين من خلال قنوات غير تقليدية. يتم نقل بيانات الاعتماد والتفاصيل الحساسة المسروقة من خلال بروتوكول نقل البريد البسيط (SMTP) أو برامج Telegram. من خلال استخدام هذه الأساليب، يحافظ البرنامج الخبيث على تدفق ثابت من المعلومات المسروقة إلى الخوادم التي يسيطر عليها المهاجم، متجاوزًا بعض تدابير الأمان التقليدية.
AutoIt: تقنية التهرب الذكية
ما يميز هذه الموجة الأخيرة من الهجمات هو استخدام لغة البرمجة النصية AutoIt لتنفيذ الحمولة الأساسية. يتم تضمين البرامج الضارة داخل ملف ثنائي تم تجميعه بواسطة AutoIt، مما يسمح لها بالتهرب من آليات الكشف التقليدية. لا يجعل هذا النهج التحليل الثابت أكثر صعوبة فحسب، بل يتيح أيضًا سلوكًا ديناميكيًا يحاكي عن كثب أدوات الأتمتة المشروعة، مما يخفي وجودها بشكل أكبر.
إنشاء استمرارية للأنظمة المخترقة
بمجرد تنفيذه، يضمن Snake Keylogger بقائه نشطًا على النظام المصاب. فهو ينشر نسخة من نفسه باسم "ageless.exe" في الدليل "%Local_AppData%\supergroup". ولتعزيز موطئ قدمه، يضع أيضًا ملف Visual Basic Script (VBS) باسم "ageless.vbs" في مجلد بدء تشغيل Windows. وهذا يضمن إعادة تشغيل البرنامج الخبيث تلقائيًا في كل مرة يتم فيها إعادة تشغيل النظام، مما يسمح له بالاستمرار حتى في حالة إنهاء عملياته.
عملية التجويف: الاختباء أمام أعين الجميع
تتضمن المرحلة الأخيرة من الهجوم حقن الحمولة الأساسية في عملية .NET شرعية، مثل "regsvcs.exe"، باستخدام تقنية تُعرف باسم "تجويف العملية". ومن خلال القيام بذلك، يصبح Snake Keylogger قادرًا على العمل تحت ستار عملية موثوقة، مما يجعل اكتشافه أكثر صعوبة بشكل كبير.
تسجيل ضغطات المفاتيح وتتبع الضحايا
بالإضافة إلى سرقة بيانات الاعتماد، يراقب Snake Keylogger أيضًا نشاط المستخدم من خلال تسجيل ضغطات المفاتيح. وهو يستفيد من واجهة برمجة التطبيقات SetWindowsHookEx مع العلامة WH_KEYBOARD_LL (العلامة 13)، وهي عبارة عن خطاف لوحة مفاتيح منخفض المستوى مصمم لالتقاط ضغطات المفاتيح. تمكنه هذه الطريقة من تسجيل المدخلات الحساسة، بما في ذلك تفاصيل الخدمات المصرفية وكلمات المرور. بالإضافة إلى ذلك، يستخدم البرنامج الخبيث خدمات خارجية مثل checkip.dyndns.org لتحديد عنوان IP الخاص بالضحية وموقعه الجغرافي، مما يعزز قدراته على جمع البيانات.
التهديد المستمر والمتطور
إن عودة ظهور Snake Keylogger تؤكد الطبيعة المتطورة للتهديدات السيبرانية. فمن خلال الاستفادة من تقنيات جديدة مثل AutoIt scripting وprocess hollowing، يستمر Snake Keylogger في التهرب من الكشف بينما يخترق أعدادًا هائلة من الأنظمة. ويظل البقاء على اطلاع على أساليبه وممارسة الحذر عند التعامل مع رسائل البريد الإلكتروني أمرًا بالغ الأهمية في التخفيف من المخاطر المرتبطة بهذا التهديد المستمر.
