Snake Keylogger variant
En frisk variant af Snake Keylogger er aktivt målrettet mod Windows-brugere i Kina, Tyrkiet, Indonesien, Taiwan og Spanien. Forskere har sporet denne nye version og knyttet den til alarmerende 280 millioner infektionsforsøg på verdensplan siden begyndelsen af året, hvilket understreger dens udbredte virkning.
Indholdsfortegnelse
Phishingfælden: Hvordan Snake Keylogger spredes
Den primære leveringsmetode for Snake Keylogger forbliver phishing-e-mails, der er indlejret med truende vedhæftede filer eller links. Malwaren får adgang til intetanende brugeres systemer, når de interagerer med disse vildledende e-mails. Den fokuserer på at høste følsomme data fra udbredte webbrowsere som Chrome, Edge og Firefox. Den opnår dette ved at optage tastetryk, registrere login-legitimationsoplysninger og overvåge udklipsholderaktivitet.
Eksfiltrering af data gennem ukonventionelle kanaler
Snake Keylogger stopper ikke ved at indsamle information – den sikrer, at de stjålne data når angriberne gennem ukonventionelle kanaler. De eksfiltrerede legitimationsoplysninger og følsomme detaljer overføres gennem Simple Mail Transfer Protocol (SMTP) eller Telegram-bots. Ved at bruge disse metoder opretholder malwaren en stabil strøm af stjålne informationer til angriberkontrollerede servere og omgår nogle traditionelle sikkerhedsforanstaltninger.
AutoIt: En smart undvigelsesteknik
Det, der adskiller denne seneste bølge af angreb, er brugen af AutoIt-scriptsproget til at udføre den primære nyttelast. Malwaren er indlejret i en AutoIt-kompileret binær, så den kan unddrage sig traditionelle detektionsmekanismer. Denne tilgang gør ikke kun statisk analyse mere udfordrende, men muliggør også dynamisk adfærd, der tæt efterligner legitime automatiseringsværktøjer, hvilket yderligere maskerer dens tilstedeværelse.
Etablering af persistens på kompromitterede systemer
Når den er udført, sikrer Snake Keylogger, at den forbliver aktiv på det inficerede system. Det taber en kopi af sig selv som 'ageless.exe' i mappen '%Local_AppData%\supergroup'. For at styrke dens fodfæste placerer den også en Visual Basic Script-fil (VBS) med navnet 'ageless.vbs' i Windows Startup-mappen. Dette sikrer, at hver gang systemet genstarter, genstartes malwaren automatisk, så den kan fortsætte, selvom dens processer afsluttes.
Procesudhulning: Gemmer sig i almindeligt syn
Den sidste fase af angrebet involverer indsprøjtning af den primære nyttelast i en legitim .NET-proces, såsom 'regsvcs.exe', ved hjælp af en teknik kendt som procesudhulning. Ved at gøre det er Snake Keylogger i stand til at fungere under dække af en pålidelig proces, hvilket gør det betydeligt mere udfordrende at opdage.
Logning af tastetryk og sporing af ofre
Ud over legitimationstyveri overvåger Snake Keylogger også brugeraktivitet ved at logge tastetryk. Det udnytter SetWindowsHookEx API'et med WH_KEYBOARD_LL flaget (flag 13), en lav-niveau tastatur hook designet til at fange tastetryk. Denne metode gør det muligt at registrere følsomme input, herunder bankoplysninger og adgangskoder. Derudover bruger malwaren eksterne tjenester som checkip.dyndns.org til at bestemme ofrets IP-adresse og geolocation, hvilket yderligere forbedrer dets dataindsamlingsmuligheder.
En vedvarende og udviklende trussel
Genopblomstringen af Snake Keylogger understreger udviklingen af cybertrusler. Ved at udnytte nye teknikker såsom AutoIt-scripting og procesudhulning fortsætter den med at undgå registrering, mens den kompromitterer et stort antal systemer. At holde sig orienteret om dets metoder og udvise forsigtighed ved håndtering af e-mails er fortsat afgørende for at mindske de risici, der er forbundet med denne vedvarende trussel.
