תוכנה זדונית של SnappyClient
SnappyClient היא תוכנה זדונית מתקדמת ביותר שנכתבה ב-C++ ומופצת באמצעות טוען המכונה HijackLoader. היא מתפקדת כטרויאני לגישה מרחוק (RAT), המאפשר לפושעי סייבר להשתלט על מערכות פרוצות ולחלץ נתונים רגישים. לאחר שנמצאת בתוך מכשיר, התוכנה הזדונית מתחברת לשרת פיקוד ובקרה (C2) כדי לקבל הוראות ולבצע פעולות זדוניות.
תוכן העניינים
טכניקות התחמקות ומניפולציה של המערכת
כדי להישאר בלתי מזוהה, SnappyClient מפריע למנגנוני האבטחה המובנים של Windows. טקטיקה מרכזית כרוכה בשיבוש ממשק הסריקה נגד תוכנות זדוניות (AMSI), האחראי על סריקת סקריפטים וקוד לאיתור התנהגות זדונית. במקום לאפשר ל-AMSI לסמן איומים, התוכנה הזדונית מתמרנת את הפלט שלה כך שפעילות מזיקה תיראה בטוחה.
התוכנה הזדונית מסתמכת גם על רשימת תצורה פנימית המכתיבה את התנהגותה. הגדרות אלו קובעות אילו נתונים נאספים, היכן הם מאוחסנים, כיצד נשמרת השמירה על נוכחות, והאם ההפעלה ממשיכה בתנאים מסוימים. תצורה זו מבטיחה שהתוכנה הזדונית תישאר פעילה גם לאחר אתחול המערכת.
בנוסף, SnappyClient מאחזר שני קבצים מוצפנים משרתים הנשלטים על ידי תוקפים. קבצים אלה מאוחסנים בפורמט מוסתר ומשמשים לשליטה דינמית בפונקציונליות של התוכנה הזדונית במערכת הנגועה.
יכולות בקרת מערכת נרחבות
SnappyClient מספק לתוקפים שליטה עמוקה על מכשירים שנפרצו. הוא יכול ללכוד צילומי מסך ולשדר אותם למפעילים מרוחקים, ומציע תובנות ישירות על פעילות המשתמש. התוכנה הזדונית מאפשרת גם ניהול תהליכים מלא, המאפשר לתוקפים לנטר, להשעות, לחדש או לסיים תהליכים פועלים. יתר על כן, הוא תומך בהחדרת קוד לתהליכים לגיטימיים, ועוזר לו לפעול באופן חשאי בתוך המערכת.
מניפולציה של מערכת הקבצים היא יכולת מרכזית נוספת. התוכנה הזדונית יכולה לדפדף בספריות, ליצור או למחוק קבצים ותיקיות, ולבצע פעולות כגון העתקה, העברה, שינוי שם, דחיסה או חילוץ ארכיונים, אפילו כאלה המוגנים בסיסמאות. היא יכולה גם להפעיל קבצים ולנתח קיצורי דרך.
פונקציות גניבת נתונים ומעקב
מטרה עיקרית של SnappyClient היא חילוץ נתונים. הוא כולל לוגר מקלדת מובנה שרושם הקשות מקשים ושולח את הנתונים שנלכדו לתוקפים. מעבר לכך, הוא מחלץ מגוון רחב של מידע רגיש מדפדפנים ויישומים אחרים, כולל פרטי כניסה, קובצי Cookie, היסטוריית גלישה, סימניות, נתוני סשן ומידע הקשור לתוספים.
התוכנה הזדונית יכולה גם לחפש ולגנוב קבצים או ספריות ספציפיים בהתבסס על מסננים שהוגדרו על ידי התוקף, כגון שמות קבצים או נתיבים. בנוסף לחילוץ, היא מסוגלת להוריד קבצים משרתים מרוחקים ולאחסן אותם באופן מקומי במחשב הנגוע.
תכונות ביצוע וניצול מתקדמות
SnappyClient תומך במספר שיטות להפעלת מטענים זדוניים. הוא יכול להריץ קבצי הפעלה סטנדרטיים, לטעון ספריות קישור דינמיות (DLL), או לחלץ ולהפעיל תוכן מקבצים מאוחסנים. הוא גם מאפשר לתוקפים להגדיר פרמטרי ביצוע כגון ספריות עבודה וארגומנטים בשורת הפקודה. במקרים מסוימים, הוא מנסה לעקוף את בקרת חשבון המשתמש (UAC) כדי לקבל הרשאות מוגברות.
תכונות בולטות נוספות כוללות את היכולת להפעיל הפעלות דפדפן נסתרות, המאפשרות לתוקפים לנטר ולתפעל פעילות אינטרנט ללא מודעות המשתמש. היא גם מספקת ממשק שורת פקודה לביצוע פקודות מערכת מרחוק. מניפולציה של לוח הגזירים היא פונקציה מסוכנת נוספת, המשמשת לעתים קרובות להחלפת כתובות ארנקי מטבעות קריפטוגרפיים באלו הנשלטות על ידי התוקפים.
יישומים ומקורות נתונים ממוקדים
SnappyClient נועד לחלץ מידע ממגוון רחב של יישומים, במיוחד דפדפני אינטרנט וכלים של מטבעות קריפטוגרפיים.
דפדפני האינטרנט הממוקדים כוללים:
דפדפן 360, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi ו-Waterfox
ארנקים וכלים ממוקדים של מטבעות קריפטוגרפיים כוללים:
קוינבייס, מטאמאסק, פנטום, טרונלינק, טראסטוואלט
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite, ו-Wasabi
מיקוד רחב זה מגדיל משמעותית את הפוטנציאל לגניבה פיננסית ופגיעה בתעודות.
שיטות הפצה מטעות
SnappyClient מופץ בעיקר באמצעות טכניקות מסירה מטעות שנועדו להערים על משתמשים ולגרום להם להריץ קבצים זדוניים. שיטה נפוצה אחת כוללת אתרים מזויפים המתחזים לחברות תקשורת לגיטימיות. כאשר מבקרים באתרים אלה, הם מורידים בשקט את HijackLoader למכשיר הקורבן. אם הוא מופעל, הטוען פורס את SnappyClient.
טקטיקה נוספת של распространенный (או "רֶסְפּוֹסְטְרַנֶנְ ...
הסיכונים וההשפעה של זיהום
SnappyClient מייצג איום סייבר חמור בשל יכולותיו החשאיות, הרבגוניות והרחבות. לאחר פריסתו, הוא מאפשר לתוקפים לנטר פעילות משתמשים, לגנוב מידע רגיש, לתפעל פעולות מערכת ולבצע מטענים זדוניים נוספים.
ההשלכות של זיהומים כאלה עלולות להיות חמורות, כולל חטיפת חשבונות, גניבת זהות, הפסדים כספיים, זיהומים נוספים של תוכנות זדוניות ופגיעה ארוכת טווח במערכת.
