וריאנט Keylogger של נחש
גרסה חדשה של ה-Snake Keylogger מכוונת באופן פעיל למשתמשי Windows ברחבי סין, טורקיה, אינדונזיה, טייוואן וספרד. חוקרים עקבו אחר גרסה חדשה זו וקישרו אותה ל-280 מיליון ניסיונות הדבקה מדאיגים ברחבי העולם מאז תחילת השנה, והדגישו את השפעתה הנרחבת.
תוכן העניינים
מלכודת הדיוג: כיצד מתפשט ה-Snake Keylogger
שיטת המסירה העיקרית של ה- Snake Keylogger נשארת הודעות דיוג המוטבעות בקבצים מצורפים או קישורים מאיימים. התוכנה הזדונית מקבלת גישה למערכות של משתמשים תמימים ברגע שהם מקיימים אינטראקציה עם מיילים מטעים אלה. הוא מתמקד בקצירת נתונים רגישים מדפדפני אינטרנט בשימוש נרחב כגון Chrome, Edge ו-Firefox. זה משיג זאת על ידי הקלטת הקשות, לכידת אישורי כניסה ומעקב אחר פעילות הלוח.
סינון נתונים דרך ערוצים לא שגרתיים
ה-Snake Keylogger לא עוצר בקצירת מידע - הוא מבטיח שהנתונים הגנובים יגיעו לתוקפים דרך ערוצים לא שגרתיים. האישורים שחולצו והפרטים הרגישים מועברים באמצעות פרוטוקול העברת הדואר הפשוט (SMTP) או בוטים של טלגרם. על ידי שימוש בשיטות אלה, התוכנה הזדונית שומרת על זרימה קבועה של מידע גנוב לשרתים הנשלטים על ידי תוקפים, תוך עקיפת כמה אמצעי אבטחה מסורתיים.
AutoIt: טכניקת התחמקות חכמה
מה שמייחד את גל ההתקפות האחרון הזה הוא השימוש בשפת הסקריפט AutoIt לביצוע המטען הראשי. התוכנה הזדונית מוטמעת בתוך קובץ בינארי שהורכב AutoIt, מה שמאפשר לה לחמוק ממנגנוני זיהוי מסורתיים. גישה זו לא רק הופכת את הניתוח הסטטי למאתגר יותר, אלא גם מאפשרת התנהגות דינמית המחקה מקרוב כלי אוטומציה לגיטימיים, ומסווה עוד יותר את נוכחותה.
ביסוס התמדה על מערכות שנפגעו
לאחר ביצועו, ה-Snake Keylogger מבטיח שהוא יישאר פעיל במערכת הנגועה. הוא משחרר עותק של עצמו בתור 'ageless.exe' בספריית '%Local_AppData%\supergroup'. כדי לחזק את דריסת הרגל שלו, הוא גם מציב קובץ Visual Basic Script (VBS) בשם 'ageless.vbs' בתיקיית ההפעלה של Windows. זה מבטיח שבכל פעם שהמערכת מופעלת מחדש, התוכנה הזדונית מופעלת מחדש באופן אוטומטי, ומאפשרת לה להתמיד גם אם התהליכים שלה יופסקו.
תהליך חלול: מסתתר לעין
השלב האחרון של המתקפה כולל הזרקת המטען העיקרי לתהליך NET לגיטימי, כגון 'regsvcs.exe', תוך שימוש בטכניקה המכונה תהליך חלול. על ידי כך, ה-Snake Keylogger מסוגל לפעול במסווה של תהליך מהימן, מה שהופך אותו לאתגר משמעותי יותר לזיהוי.
רישום הקשות ומעקב אחר קורבנות
מעבר לגניבת אישורים, ה-Snake Keylogger גם עוקב אחר פעילות המשתמש על ידי רישום הקשות. הוא ממנף את ה-API של SetWindowsHookEx עם דגל WH_KEYBOARD_LL (דגל 13), וו מקלדת ברמה נמוכה שנועד ללכוד הקשות. שיטה זו מאפשרת לו להקליט קלט רגיש, כולל פרטי בנק וסיסמאות. בנוסף, התוכנה הזדונית משתמשת בשירותים חיצוניים כמו checkip.dyndns.org כדי לקבוע את כתובת ה-IP והמיקום הגיאוגרפי של הקורבן, מה שמשפר עוד יותר את יכולות איסוף הנתונים שלו.
איום מתמשך ומתפתח
ההתעוררות של ה-Snake Keylogger מדגישה את האופי המתפתח של איומי הסייבר. על ידי מינוף טכניקות חדשות כמו AutoIt scripting ו-process hollowing, הוא ממשיך להתחמק מזיהוי תוך פגיעה במספר עצום של מערכות. להישאר מעודכן לגבי השיטות שלה ולנקוט זהירות בעת הטיפול בהודעות דוא"ל עדיין חיוניים בהפחתת הסיכונים הקשורים לאיום המתמשך הזה.
