Вариант на Snake Keylogger
Нов вариант на Snake Keylogger е активно насочен към потребителите на Windows в Китай, Турция, Индонезия, Тайван и Испания. Изследователите проследиха тази нова версия и я свързаха с тревожните 280 милиона опита за заразяване по целия свят от началото на годината, подчертавайки нейното широко разпространено въздействие.
Съдържание
Капанът за фишинг: Как се разпространява Snake Keylogger
Основният метод за доставка за Snake Keylogger остават фишинг имейли, вградени със заплашителни прикачени файлове или връзки. Зловреден софтуер получава достъп до системите на нищо неподозиращите потребители, след като взаимодействат с тези измамни имейли. Той се фокусира върху събирането на чувствителни данни от широко използвани уеб браузъри като Chrome, Edge и Firefox. Той постига това чрез записване на натискания на клавиши, заснемане на идентификационни данни за влизане и наблюдение на активността на клипборда.
Ексфилтриране на данни чрез нетрадиционни канали
Snake Keylogger не спира до събиране на информация – той гарантира, че откраднатите данни достигат до нападателите по нетрадиционни канали. Ексфилтрираните идентификационни данни и чувствителни подробности се предават чрез Simple Mail Transfer Protocol (SMTP) или ботове на Telegram. Използвайки тези методи, злонамереният софтуер поддържа постоянен поток от открадната информация към контролирани от атакуващи сървъри, заобикаляйки някои традиционни мерки за сигурност.
AutoIt: хитра техника за избягване
Това, което отличава тази последна вълна от атаки, е използването на скриптовия език AutoIt за изпълнение на основния полезен товар. Зловреден софтуер е вграден в двоичен файл, компилиран от AutoIt, което му позволява да избегне традиционните механизми за откриване. Този подход не само прави статичния анализ по-предизвикателен, но също така позволява динамично поведение, което много имитира легитимните инструменти за автоматизация, като допълнително прикрива присъствието си.
Установяване на устойчивост на компрометирани системи
След като бъде изпълнен, Snake Keylogger гарантира, че остава активен в заразената система. Той пуска копие на себе си като „ageless.exe“ в директорията „%Local_AppData%\supergroup“. За да укрепи своята опора, той също така поставя файл на Visual Basic Script (VBS) с име „ageless.vbs“ в папката за стартиране на Windows. Това гарантира, че всеки път, когато системата се рестартира, злонамереният софтуер автоматично се стартира отново, което му позволява да продължи да съществува дори ако процесите му бъдат прекратени.
Процес на вдлъбване: Скриване пред очите
Последният етап на атаката включва инжектиране на първичния полезен товар в легитимен .NET процес, като например „regsvcs.exe“, като се използва техника, известна като изпъкване на процеса. Правейки това, Snake Keylogger е в състояние да работи под прикритието на доверен процес, което го прави значително по-трудно за откриване.
Регистриране на натискания на клавиши и проследяване на жертви
Освен кражба на идентификационни данни, Snake Keylogger също следи активността на потребителите, като регистрира натискания на клавиши. Той използва SetWindowsHookEx API с флага WH_KEYBOARD_LL (флаг 13), кука на клавиатурата от ниско ниво, предназначена да улавя натискания на клавиши. Този метод му позволява да записва поверителни данни, включително банкови данни и пароли. Освен това зловредният софтуер използва външни услуги като checkip.dyndns.org, за да определи IP адреса и геолокацията на жертвата, като допълнително подобрява възможностите си за събиране на данни.
Постоянна и развиваща се заплаха
Възраждането на Snake Keylogger подчертава развиващия се характер на киберзаплахите. Чрез използване на нови техники като AutoIt скриптове и изпъкване на процеси, той продължава да избягва откриването, като същевременно компрометира огромен брой системи. Да бъдете информирани за неговите методи и да бъдете внимателни при работа с имейли остават от решаващо значение за смекчаване на рисковете, свързани с тази постоянна заплаха.
