Snake Keylogger -versio
Snake Keyloggerin uusi versio on suunnattu aktiivisesti Windows-käyttäjille Kiinassa, Turkissa, Indonesiassa, Taiwanissa ja Espanjassa. Tutkijat ovat seuranneet tätä uutta versiota ja yhdistäneet sen hälyttäviin 280 miljoonaan tartuntayritykseen maailmanlaajuisesti vuoden alusta lähtien, mikä korostaa sen laajaa vaikutusta.
Sisällysluettelo
Phishing Trap: Kuinka Snake Keylogger leviää
Snake Keyloggerin ensisijainen toimitustapa on edelleen tietojenkalasteluviestit, joihin on upotettu uhkaavia liitteitä tai linkkejä. Haittaohjelma pääsee pahaa-aavistamattomien käyttäjien järjestelmiin, kun he ovat vuorovaikutuksessa näiden petollisten sähköpostien kanssa. Se keskittyy arkaluonteisten tietojen keräämiseen laajalti käytetyistä verkkoselaimista, kuten Chromesta, Edgestä ja Firefoxista. Se saavuttaa tämän tallentamalla näppäinpainalluksia, kaappaamalla kirjautumistiedot ja seuraamalla leikepöydän toimintaa.
Tietojen suodattaminen epätavallisten kanavien kautta
Snake Keylogger ei pysähdy tietojen keräämiseen – se varmistaa, että varastetut tiedot saavuttavat hyökkääjät epätavallisia kanavia pitkin. Suodatetut tunnistetiedot ja arkaluontoiset yksityiskohdat välitetään Simple Mail Transfer Protocol (SMTP)- tai Telegram-bottien kautta. Näitä menetelmiä käyttämällä haittaohjelma ylläpitää tasaista varastetun tiedon kulkua hyökkääjien hallitsemille palvelimille ohittaen jotkin perinteiset suojaustoimenpiteet.
AutoIt: älykäs väistötekniikka
Tämän uusimman hyökkäysaallon erottaa toisistaan AutoIt-komentosarjakielen käyttö ensisijaisen hyötykuorman suorittamiseen. Haittaohjelma on upotettu AutoIt-käännettyyn binaariin, jolloin se voi kiertää perinteisiä tunnistusmekanismeja. Tämä lähestymistapa ei ainoastaan tee staattisesta analyysistä haastavampaa, vaan mahdollistaa myös dynaamisen toiminnan, joka jäljittelee tarkasti laillisia automaatiotyökaluja ja peittää entisestään sen läsnäolon.
Pysyvyyden luominen vaarantuneisiin järjestelmiin
Kun Snake Keylogger on suoritettu, se pysyy aktiivisena tartunnan saaneessa järjestelmässä. Se pudottaa kopion itsestään nimellä "ageless.exe" %Local_AppData%\supergroup-hakemistoon. Jalansijansa vahvistamiseksi se sijoittaa myös Visual Basic Script (VBS) -tiedoston nimeltä "ageless.vbs" Windowsin käynnistyskansioon. Tämä varmistaa, että joka kerta kun järjestelmä käynnistyy uudelleen, haittaohjelma käynnistyy automaattisesti uudelleen, jolloin se voi jatkua, vaikka sen prosessit lopetetaan.
Prosessi Hollowing: Piilostuminen näkyville
Hyökkäyksen viimeinen vaihe sisältää ensisijaisen hyötykuorman lisäämisen lailliseen .NET-prosessiin, kuten "regsvcs.exe", käyttämällä prosessin hollowing-tekniikkaa. Näin tekemällä Snake Keylogger pystyy toimimaan luotettavan prosessin varjolla, mikä tekee sen havaitsemisesta huomattavasti vaikeampaa.
Näppäinpainallusten kirjaaminen ja uhrien seuranta
Tunnustietojen varkauksien lisäksi Snake Keylogger valvoo myös käyttäjien toimintaa kirjaamalla lokiin näppäinpainallukset. Se hyödyntää SetWindowsHookEx API:ta WH_KEYBOARD_LL-lipulla (lippu 13), matalan tason näppäimistökoukulla, joka on suunniteltu kaappaamaan näppäinpainalluksia. Tämän menetelmän avulla se voi tallentaa arkaluontoisia tietoja, mukaan lukien pankkitiedot ja salasanat. Lisäksi haittaohjelma käyttää ulkoisia palveluita, kuten checkip.dyndns.org, määrittääkseen uhrin IP-osoitteen ja maantieteellisen sijainnin, mikä parantaa entisestään sen tiedonkeruukykyä.
Jatkuva ja kehittyvä uhka
Snake Keyloggerin uudelleensyntyminen korostaa kyberuhkien kehittyvää luonnetta. Hyödyntämällä uusia tekniikoita, kuten AutoIt-komentosarjaa ja prosessien tyhjennystä, se jatkaa havaitsemisen välttämistä ja vaarantaa valtavan määrän järjestelmiä. Pysy ajan tasalla sen menetelmistä ja varovaisuus sähköpostien käsittelyssä on edelleen ratkaisevan tärkeää tähän jatkuvaan uhkaan liittyvien riskien vähentämisessä.
