Snake Keylogger Variant
Una nova variant del Keylogger Snake està orientada activament als usuaris de Windows a la Xina, Turquia, Indonèsia, Taiwan i Espanya. Els investigadors han fet un seguiment d'aquesta nova versió i l'han vinculat a un alarmant 280 milions d'intents d'infecció a tot el món des de principis d'any, destacant el seu impacte generalitzat.
Taula de continguts
La trampa de pesca: com s’estén el Keylogger de la serp
El mètode de lliurament principal per al Snake Keylogger segueixen sent els correus electrònics de pesca incrustats amb fitxers adjunts o enllaços amenaçadors. El programari maliciós accedeix als sistemes d'usuaris desprevinguts un cop interactuen amb aquests correus electrònics enganyosos. Se centra en la recollida de dades sensibles de navegadors web àmpliament utilitzats com ara Chrome, Edge i Firefox. Ho aconsegueix registrant les pulsacions de tecles, capturant les credencials d'inici de sessió i supervisant l'activitat del porta-retalls.
Exfiltració de dades a través de canals no convencionals
El Keylogger Snake no s'atura a recopilar informació: assegura que les dades robades arribin als atacants a través de canals no convencionals. Les credencials exfiltrades i els detalls sensibles es transmeten mitjançant el protocol simple de transferència de correu (SMTP) o els robots de Telegram. Mitjançant l'ús d'aquests mètodes, el programari maliciós manté un flux constant d'informació robada als servidors controlats per atacants, evitant algunes mesures de seguretat tradicionals.
AutoIt: una tècnica d’evasió intel·ligent
El que diferencia aquesta darrera onada d'atacs és l'ús del llenguatge de script AutoIt per executar la càrrega útil principal. El programari maliciós està incrustat dins d'un binari compilat per AutoIt, cosa que li permet evadir els mecanismes de detecció tradicionals. Aquest enfocament no només fa que l'anàlisi estàtica sigui més difícil, sinó que també permet un comportament dinàmic que imita de prop les eines d'automatització legítimes, emmascarant encara més la seva presència.
Establiment de la persistència en sistemes compromesos
Un cop executat, el Keylogger Snake assegura que roman actiu al sistema infectat. Deixa caure una còpia de si mateix com a "ageless.exe" al directori "%Local_AppData%\supergroup". Per reforçar la seva posició, també col·loca un fitxer de Visual Basic Script (VBS) anomenat "ageless.vbs" a la carpeta d'inici de Windows. Això garanteix que cada vegada que es reinicia el sistema, el programari maliciós es reinicia automàticament, cosa que permet que persisteixi encara que els seus processos s'acabin.
Process Hollowing: Amagat a la vista
L'etapa final de l'atac consisteix a injectar la càrrega útil principal en un procés .NET legítim, com ara 'regsvcs.exe', mitjançant una tècnica coneguda com process hollowing. En fer-ho, el Keylogger Snake és capaç d'operar sota l'aparença d'un procés de confiança, cosa que fa que sigui molt més difícil de detectar.
Registre de tecles i seguiment de víctimes
Més enllà del robatori de credencials, el Snake Keylogger també supervisa l'activitat dels usuaris registrant les pulsacions de tecles. Aprofita l'API SetWindowsHookEx amb la bandera WH_KEYBOARD_LL (bandera 13), un ganxo de teclat de baix nivell dissenyat per capturar pulsacions de tecles. Aquest mètode li permet registrar entrades sensibles, incloses dades bancàries i contrasenyes. A més, el programari maliciós utilitza serveis externs com checkip.dyndns.org per determinar l'adreça IP i la geolocalització de la víctima, millorant encara més les seves capacitats de recollida de dades.
Una amenaça persistent i en evolució
El ressorgiment del Keylogger Snake posa de manifest la naturalesa evolutiva de les amenaces cibernètiques. Mitjançant l'aprofitament de noves tècniques com ara l'escriptura d'AutoIt i l'escavació de processos, continua evadint la detecció alhora que compromet un gran nombre de sistemes. Mantenir-se informat sobre els seus mètodes i tenir precaució a l'hora de manejar els correus electrònics segueixen sent crucials per mitigar els riscos associats a aquesta amenaça persistent.
