Snake Keylogger Variant

یک نوع جدید از Snake Keylogger به طور فعال کاربران ویندوز را در سراسر چین، ترکیه، اندونزی، تایوان و اسپانیا هدف قرار داده است. محققان این نسخه جدید را ردیابی کرده و آن را به 280 میلیون تلاش هشداردهنده عفونت در سراسر جهان از ابتدای سال تاکنون مرتبط کرده‌اند و تأثیر گسترده آن را برجسته کرده‌اند.

تله فیشینگ: چگونه کی لاگر مار پخش می شود

روش اصلی تحویل برای Snake Keylogger ایمیل‌های فیشینگ است که با پیوست‌ها یا پیوندهای تهدید آمیز تعبیه شده‌اند. این بدافزار پس از تعامل با این ایمیل‌های فریبنده، به سیستم‌های کاربران ناآگاه دسترسی پیدا می‌کند. تمرکز آن بر جمع آوری داده های حساس از مرورگرهای وب پرکاربرد مانند کروم، اج و فایرفاکس است. این کار با ضبط ضربه‌های کلید، گرفتن اطلاعات کاربری ورود به سیستم و نظارت بر فعالیت‌های کلیپ‌بورد به این مهم دست می‌یابد.

استخراج داده ها از طریق کانال های غیر متعارف

Snake Keylogger در جمع آوری اطلاعات متوقف نمی شود، بلکه تضمین می کند که اطلاعات دزدیده شده از طریق کانال های غیر متعارف به مهاجمان می رسد. اعتبار استخراج شده و جزئیات حساس از طریق پروتکل انتقال نامه ساده (SMTP) یا ربات های تلگرام منتقل می شود. با استفاده از این روش ها، بدافزار جریان ثابتی از اطلاعات دزدیده شده را به سرورهای کنترل شده توسط مهاجمان حفظ می کند و برخی از اقدامات امنیتی سنتی را دور می زند.

AutoIt: یک تکنیک فرار هوشمندانه

چیزی که این آخرین موج حملات را متمایز می کند، استفاده از زبان برنامه نویسی AutoIt برای اجرای بار اولیه است. این بدافزار درون یک باینری کامپایل شده توسط AutoIt تعبیه شده است و به آن اجازه می دهد از مکانیسم های تشخیص سنتی فرار کند. این رویکرد نه تنها تجزیه و تحلیل استاتیک را چالش‌برانگیزتر می‌کند، بلکه رفتار پویا را قادر می‌سازد که از نزدیک ابزارهای اتوماسیون قانونی را تقلید کند و حضور آن را بیشتر پنهان کند.

ایجاد پایداری در سیستم های در معرض خطر

پس از اجرا، Snake Keylogger اطمینان حاصل می کند که در سیستم آلوده فعال باقی می ماند. یک کپی از خود به‌عنوان «ageless.exe» در فهرست «%Local_AppData%\supergroup» می‌اندازد. برای تقویت جایگاه خود، یک فایل ویژوال بیسیک اسکریپت (VBS) به نام 'ageless.vbs' را در پوشه راه اندازی ویندوز قرار می دهد. این تضمین می‌کند که هر بار که سیستم راه‌اندازی مجدد می‌شود، بدافزار به‌طور خودکار راه‌اندازی می‌شود و به آن اجازه می‌دهد حتی اگر فرآیندهای آن خاتمه یافته باشد، باقی بماند.

فرآیند توخالی: پنهان شدن در دید ساده

مرحله آخر حمله شامل تزریق بار اولیه به یک فرآیند دات نت قانونی، مانند 'regsvcs.exe'، با استفاده از تکنیکی است که به عنوان حفره فرآیند شناخته می شود. با انجام این کار، Snake Keylogger می‌تواند تحت پوشش یک فرآیند قابل اعتماد عمل کند و تشخیص آن را بسیار چالش‌برانگیزتر می‌کند.

ورود به سیستم ضربه زدن به کلید و ردیابی قربانیان

فراتر از سرقت مدارک، Snake Keylogger همچنین فعالیت کاربر را با ثبت ضربه های کلید کنترل می کند. این SetWindowsHookEx API را با پرچم WH_KEYBOARD_LL (پرچم 13)، یک قلاب صفحه‌کلید سطح پایین که برای ضبط ضربه‌های کلید طراحی شده است، استفاده می‌کند. این روش آن را قادر می‌سازد تا ورودی‌های حساس از جمله جزئیات بانکی و رمزهای عبور را ثبت کند. علاوه بر این، این بدافزار از سرویس‌های خارجی مانند checkip.dyndns.org برای تعیین آدرس IP و موقعیت جغرافیایی قربانی استفاده می‌کند و قابلیت‌های جمع‌آوری داده‌های خود را بیشتر می‌کند.

یک تهدید دائمی و در حال تکامل

ظهور مجدد Snake Keylogger بر ماهیت در حال تحول تهدیدات سایبری تاکید می کند. با استفاده از تکنیک‌های جدید مانند برنامه‌نویسی AutoIt و حفره‌سازی فرآیند، همچنان از شناسایی فرار می‌کند و در عین حال تعداد زیادی از سیستم‌ها را به خطر می‌اندازد. آگاه ماندن در مورد روش‌های آن و احتیاط در هنگام مدیریت ایمیل‌ها در کاهش خطرات مرتبط با این تهدید مداوم بسیار مهم است.