Snake Keyloggeri variant
Snake Keyloggeri värske variant sihib aktiivselt Windowsi kasutajaid Hiinas, Türgis, Indoneesias, Taiwanis ja Hispaanias. Teadlased on seda uut versiooni jälginud ja seostanud selle murettekitava 280 miljoni nakatumiskatsega kogu maailmas alates aasta algusest, rõhutades selle laialdast mõju.
Sisukord
Andmepüügilõks: kuidas Snake Keylogger levib
Snake Keyloggeri esmaseks edastamismeetodiks jäävad andmepüügimeilid, mis on manustatud ähvardavate manuste või linkidega. Pahavara saab juurdepääsu pahaaimamatute kasutajate süsteemidele, kui nad nende petlike meilidega suhtlevad. See keskendub tundlike andmete kogumisele laialdaselt kasutatavatest veebibrauseritest, nagu Chrome, Edge ja Firefox. See saavutatakse klahvivajutuste salvestamise, sisselogimismandaatide jäädvustamise ja lõikepuhvri tegevuse jälgimisega.
Andmete väljafiltreerimine ebatavaliste kanalite kaudu
Snake Keylogger ei piirdu teabe kogumisega – see tagab, et varastatud andmed jõuavad ründajateni ebatavaliste kanalite kaudu. Väljafiltreeritud mandaadid ja tundlikud üksikasjad edastatakse lihtsa meiliedastusprotokolli (SMTP) või telegrammi robotite kaudu. Neid meetodeid kasutades säilitab pahavara pideva varastatud teabe voo ründaja kontrollitavatesse serveritesse, jättes mööda mõningatest traditsioonilistest turvameetmetest.
AutoIt: nutikas kõrvalehoidmise tehnika
Selle viimase rünnakulaine eristab skriptikeele AutoIt kasutamine esmase kasuliku koormuse täitmiseks. Pahavara on manustatud AutoIt-i kompileeritud binaarfaili, mis võimaldab sellel traditsioonilistest tuvastamismehhanismidest kõrvale hiilida. See lähenemisviis mitte ainult ei muuda staatilise analüüsi keerukamaks, vaid võimaldab ka dünaamilist käitumist, mis jäljendab täpselt seaduslikke automatiseerimistööriistu, varjates selle olemasolu veelgi.
Püsivuse loomine ohustatud süsteemides
Pärast käivitamist tagab Snake Keylogger, et see jääb nakatunud süsteemis aktiivseks. See loob enda koopia nimega „ageless.exe” kataloogi „%Local_AppData%\supergroup”. Oma tugipunkti tugevdamiseks paigutab see Windowsi käivituskausta ka Visual Basic Scripti (VBS) faili nimega "ageless.vbs". See tagab, et iga kord, kui süsteem taaskäivitub, käivitub pahavara automaatselt uuesti, võimaldades sellel püsida ka siis, kui selle protsessid lõpetatakse.
Protsess õõnestamist: varjamine nähtaval kohal
Rünnaku viimane etapp hõlmab esmase kasuliku koormuse sisestamist seaduslikku .NET-i protsessi (nt regsvcs.exe), kasutades protsessi õõnestamiseks tuntud tehnikat. Seda tehes suudab Snake Keylogger töötada usaldusväärse protsessi varjus, muutes selle tuvastamise oluliselt keerulisemaks.
Klahvivajutuste logimine ja ohvrite jälgimine
Lisaks mandaadivargustele jälgib Snake Keylogger ka kasutaja tegevust klahvivajutuste logimisega. See kasutab SetWindowsHookEx API-t WH_KEYBOARD_LL lipuga (lipp 13), madala taseme klaviatuuri konks, mis on loodud klahvivajutuste jäädvustamiseks. See meetod võimaldab salvestada tundlikku sisendit, sealhulgas pangaandmeid ja paroole. Lisaks kasutab pahavara ohvri IP-aadressi ja geograafilise asukoha määramiseks välisteenuseid, nagu checkip.dyndns.org, mis suurendab veelgi selle andmete kogumise võimalusi.
Püsiv ja arenev oht
Snake Keyloggeri taassünd rõhutab küberohtude muutuvat olemust. Kasutades uusi tehnikaid, nagu AutoIt skriptimine ja protsesside õõnestamine, hoiab see jätkuvalt tuvastamisest kõrvale, seades ohtu suure hulga süsteeme. Selle püsiva ohuga seotud riskide maandamisel on endiselt oluline olla kursis selle meetoditega ja olla e-kirjade käsitlemisel ettevaatlik.
