Snake Keylogger Varianta
Nová varianta Snake Keylogger aktivně cílí na uživatele Windows v Číně, Turecku, Indonésii, Tchaj-wanu a Španělsku. Vědci sledovali tuto novou verzi a spojili ji s alarmujícími 280 miliony pokusů o infekci po celém světě od začátku roku, čímž zdůraznili její široký dopad.
Obsah
Phishing Trap: Jak se šíří Snake Keylogger
Primárním způsobem doručení pro Snake Keylogger zůstávají phishingové e-maily s hrozivými přílohami nebo odkazy. Malware získá přístup do systémů nic netušících uživatelů, jakmile interagují s těmito podvodnými e-maily. Zaměřuje se na získávání citlivých dat z široce používaných webových prohlížečů, jako jsou Chrome, Edge a Firefox. Dosahuje toho zaznamenáváním úhozů, zachycováním přihlašovacích údajů a sledováním aktivity schránky.
Exfiltrace dat prostřednictvím nekonvenčních kanálů
Snake Keylogger nekončí u sběru informací – zajišťuje, že se ukradená data dostanou k útočníkům prostřednictvím nekonvenčních kanálů. Exfiltrované přihlašovací údaje a citlivé podrobnosti jsou přenášeny prostřednictvím robotů Simple Mail Transfer Protocol (SMTP) nebo telegramů. Využitím těchto metod malware udržuje stálý tok odcizených informací na servery ovládané útočníky, čímž obchází některá tradiční bezpečnostní opatření.
AutoIt: Chytrá technika úniku
To, co odlišuje tuto nejnovější vlnu útoků, je použití skriptovacího jazyka AutoIt ke spuštění primárního užitečného zatížení. Malware je zabudován do binárního souboru zkompilovaného AutoIt, což mu umožňuje vyhnout se tradičním detekčním mechanismům. Tento přístup nejen činí statickou analýzu náročnější, ale umožňuje také dynamické chování, které úzce napodobuje legitimní automatizační nástroje, a dále maskuje jeho přítomnost.
Stanovení vytrvalosti na kompromitovaných systémech
Po spuštění Snake Keylogger zajistí, že zůstane aktivní na infikovaném systému. Vypustí svou kopii jako 'ageless.exe' do adresáře '%Local_AppData%\supergroup'. Aby posílil své postavení, umístí také soubor Visual Basic Script (VBS) s názvem 'ageless.vbs' do složky Po spuštění systému Windows. To zajišťuje, že pokaždé, když se systém restartuje, malware se automaticky znovu spustí, což mu umožní přetrvávat, i když jsou jeho procesy ukončeny.
Procesní vyhloubení: Skrytí na očích
Poslední fáze útoku zahrnuje vložení primárního užitečného zatížení do legitimního procesu .NET, jako je 'regsvcs.exe' pomocí techniky známé jako proces hollowing. Díky tomu je Snake Keylogger schopen pracovat pod rouškou důvěryhodného procesu, takže jeho odhalování je výrazně náročnější.
Zaznamenání úhozů a sledování obětí
Kromě krádeže přihlašovacích údajů Snake Keylogger také monitoruje aktivitu uživatele protokolováním stisknutých kláves. Využívá SetWindowsHookEx API s příznakem WH_KEYBOARD_LL (příznak 13), nízkoúrovňovým háčkem na klávesnici navrženým pro zachycení úhozů. Tato metoda umožňuje zaznamenávat citlivé vstupy, včetně bankovních údajů a hesel. Malware navíc využívá externí služby, jako je checkip.dyndns.org, k určení IP adresy a geolokace oběti, což dále zlepšuje možnosti sběru dat.
Trvalá a vyvíjející se hrozba
Obnovení Snake Keyloggeru podtrhuje vyvíjející se povahu kybernetických hrozeb. Využitím nových technik, jako je AutoIt scripting a process hollowing, se i nadále vyhýbá detekci a zároveň kompromituje obrovské množství systémů. Být informován o jejích metodách a postupovat opatrně při manipulaci s e-maily zůstává zásadní pro zmírnění rizik spojených s touto přetrvávající hrozbou.
