Snake Keylogger παραλλαγή
Μια νέα παραλλαγή του Snake Keylogger στοχεύει ενεργά χρήστες Windows σε όλη την Κίνα, την Τουρκία, την Ινδονησία, την Ταϊβάν και την Ισπανία. Οι ερευνητές παρακολούθησαν αυτή τη νέα έκδοση και τη συνέδεσαν με ανησυχητικές 280 εκατομμύρια προσπάθειες μόλυνσης παγκοσμίως από την αρχή του έτους, υπογραμμίζοντας τον εκτεταμένο αντίκτυπό της.
Πίνακας περιεχομένων
Η παγίδα phishing: Πώς εξαπλώνεται το Snake Keylogger
Η κύρια μέθοδος παράδοσης για το Snake Keylogger παραμένει τα μηνύματα ηλεκτρονικού ψαρέματος ενσωματωμένα με απειλητικά συνημμένα ή συνδέσμους. Το κακόβουλο λογισμικό αποκτά πρόσβαση στα συστήματα ανυποψίαστων χρηστών μόλις αλληλεπιδράσουν με αυτά τα παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου. Επικεντρώνεται στη συλλογή ευαίσθητων δεδομένων από ευρέως χρησιμοποιούμενα προγράμματα περιήγησης Ιστού όπως το Chrome, το Edge και το Firefox. Αυτό το επιτυγχάνει καταγράφοντας πατήματα πλήκτρων, καταγράφοντας διαπιστευτήρια σύνδεσης και παρακολουθώντας τη δραστηριότητα του προχείρου.
Διήθηση δεδομένων μέσω μη συμβατικών καναλιών
Το Snake Keylogger δεν σταματά στη συλλογή πληροφοριών — διασφαλίζει ότι τα κλεμμένα δεδομένα φτάνουν στους επιτιθέμενους μέσω μη συμβατικών καναλιών. Τα διαπιστευτήρια και ευαίσθητες λεπτομέρειες μεταδίδονται μέσω του πρωτοκόλλου απλής μεταφοράς αλληλογραφίας (SMTP) ή των ρομπότ του Telegram. Χρησιμοποιώντας αυτές τις μεθόδους, το κακόβουλο λογισμικό διατηρεί μια σταθερή ροή κλεμμένων πληροφοριών σε διακομιστές που ελέγχονται από τους εισβολείς, παρακάμπτοντας ορισμένα παραδοσιακά μέτρα ασφαλείας.
AutoIt: Μια έξυπνη τεχνική αποφυγής
Αυτό που ξεχωρίζει αυτό το τελευταίο κύμα επιθέσεων είναι η χρήση της γλώσσας δέσμης ενεργειών AutoIt για την εκτέλεση του κύριου ωφέλιμου φορτίου. Το κακόβουλο λογισμικό είναι ενσωματωμένο σε ένα δυαδικό μεταγλωττισμένο από το AutoIt, επιτρέποντάς του να αποφύγει τους παραδοσιακούς μηχανισμούς ανίχνευσης. Αυτή η προσέγγιση όχι μόνο καθιστά τη στατική ανάλυση πιο προκλητική, αλλά επιτρέπει επίσης δυναμική συμπεριφορά που μιμείται στενά τα νόμιμα εργαλεία αυτοματισμού, καλύπτοντας περαιτέρω την παρουσία της.
Καθιέρωση Εμμονής σε Συμβιβασμένα Συστήματα
Μόλις εκτελεστεί, το Snake Keylogger διασφαλίζει ότι παραμένει ενεργό στο μολυσμένο σύστημα. Ρίχνει ένα αντίγραφο του εαυτού του ως "ageless.exe" στον κατάλογο "%Local_AppData%\supergroup". Για να ενισχύσει τη βάση της, τοποθετεί επίσης ένα αρχείο Visual Basic Script (VBS) με το όνομα 'ageless.vbs' στον φάκελο εκκίνησης των Windows. Αυτό διασφαλίζει ότι κάθε φορά που το σύστημα επανεκκινείται, το κακόβουλο λογισμικό επανεκκινείται αυτόματα, επιτρέποντάς του να παραμείνει ακόμη και αν οι διεργασίες του τερματιστούν.
Διαδικασία Hollowing: Απόκρυψη σε κοινή θέα
Το τελικό στάδιο της επίθεσης περιλαμβάνει την έγχυση του πρωτεύοντος ωφέλιμου φορτίου σε μια νόμιμη διεργασία .NET, όπως το 'regsvcs.exe', χρησιμοποιώντας μια τεχνική γνωστή ως διαδικασία hollowing. Με αυτόν τον τρόπο, το Snake Keylogger είναι σε θέση να λειτουργεί υπό το πρόσχημα μιας αξιόπιστης διαδικασίας, γεγονός που καθιστά πολύ πιο δύσκολο τον εντοπισμό του.
Καταγραφή πατημάτων πλήκτρων και παρακολούθηση θυμάτων
Πέρα από την κλοπή διαπιστευτηρίων, το Snake Keylogger παρακολουθεί επίσης τη δραστηριότητα των χρηστών καταγράφοντας πατήματα πλήκτρων. Αξιοποιεί το SetWindowsHookEx API με τη σημαία WH_KEYBOARD_LL (σημαία 13), ένα άγκιστρο πληκτρολογίου χαμηλού επιπέδου που έχει σχεδιαστεί για να καταγράφει πατήματα πλήκτρων. Αυτή η μέθοδος του επιτρέπει να καταγράφει ευαίσθητα δεδομένα, συμπεριλαμβανομένων τραπεζικών στοιχείων και κωδικών πρόσβασης. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί εξωτερικές υπηρεσίες όπως το checkip.dyndns.org για να προσδιορίσει τη διεύθυνση IP και τη γεωγραφική τοποθεσία του θύματος, ενισχύοντας περαιτέρω τις δυνατότητες συλλογής δεδομένων του.
Μια επίμονη και εξελισσόμενη απειλή
Η αναβίωση του Snake Keylogger υπογραμμίζει την εξελισσόμενη φύση των απειλών στον κυβερνοχώρο. Αξιοποιώντας νέες τεχνικές όπως το AutoIt scripting και το process hollowing, συνεχίζει να αποφεύγει την ανίχνευση ενώ διακυβεύει τεράστιο αριθμό συστημάτων. Η ενημέρωση σχετικά με τις μεθόδους του και η προσοχή κατά τον χειρισμό των μηνυμάτων ηλεκτρονικού ταχυδρομείου παραμένουν ζωτικής σημασίας για τον μετριασμό των κινδύνων που σχετίζονται με αυτήν τη διαρκή απειλή.
