Snake Keylogger Variant

स्नेक कीलॉगर का एक नया संस्करण चीन, तुर्की, इंडोनेशिया, ताइवान और स्पेन में विंडोज उपयोगकर्ताओं को सक्रिय रूप से लक्षित कर रहा है। शोधकर्ताओं ने इस नए संस्करण को ट्रैक किया है और इसे वर्ष की शुरुआत से दुनिया भर में 280 मिलियन संक्रमण प्रयासों से जोड़ा है, जो इसके व्यापक प्रभाव को उजागर करता है।

फ़िशिंग ट्रैप: स्नेक कीलॉगर कैसे फैलता है

स्नेक कीलॉगर के लिए प्राथमिक डिलीवरी विधि धमकी भरे अनुलग्नकों या लिंक के साथ एम्बेडेड फ़िशिंग ईमेल है। मैलवेयर इन भ्रामक ईमेल के साथ बातचीत करने के बाद अनजान उपयोगकर्ताओं के सिस्टम तक पहुँच प्राप्त करता है। यह क्रोम, एज और फ़ायरफ़ॉक्स जैसे व्यापक रूप से उपयोग किए जाने वाले वेब ब्राउज़र से संवेदनशील डेटा को इकट्ठा करने पर ध्यान केंद्रित करता है। यह कीस्ट्रोक्स को रिकॉर्ड करके, लॉगिन क्रेडेंशियल कैप्चर करके और क्लिपबोर्ड गतिविधि की निगरानी करके ऐसा करता है।

अपरंपरागत माध्यमों से डेटा का निष्कासन

स्नेक कीलॉगर केवल जानकारी एकत्र करने तक ही सीमित नहीं है - यह सुनिश्चित करता है कि चोरी किया गया डेटा अपरंपरागत चैनलों के माध्यम से हमलावरों तक पहुंचे। चुराए गए क्रेडेंशियल और संवेदनशील विवरण सिंपल मेल ट्रांसफर प्रोटोकॉल (SMTP) या टेलीग्राम बॉट्स के माध्यम से प्रेषित किए जाते हैं। इन तरीकों का उपयोग करके, मैलवेयर कुछ पारंपरिक सुरक्षा उपायों को दरकिनार करते हुए, हमलावर-नियंत्रित सर्वरों तक चोरी की गई जानकारी का एक स्थिर प्रवाह बनाए रखता है।

ऑटोइट: एक चतुर चोरी तकनीक

हमलों की इस नवीनतम लहर को अलग करने वाली बात प्राथमिक पेलोड को निष्पादित करने के लिए ऑटोइट स्क्रिप्टिंग भाषा का उपयोग है। मैलवेयर ऑटोइट-संकलित बाइनरी के भीतर एम्बेडेड है, जिससे यह पारंपरिक पहचान तंत्र से बच सकता है। यह दृष्टिकोण न केवल स्थैतिक विश्लेषण को अधिक चुनौतीपूर्ण बनाता है, बल्कि गतिशील व्यवहार को भी सक्षम बनाता है जो वैध स्वचालन उपकरणों की नकल करता है, जिससे इसकी उपस्थिति और भी छिप जाती है।

समझौता प्रणालियों पर दृढ़ता स्थापित करना

एक बार निष्पादित होने के बाद, स्नेक कीलॉगर सुनिश्चित करता है कि यह संक्रमित सिस्टम पर सक्रिय रहे। यह '%Local_AppData%\supergroup' निर्देशिका में 'ageless.exe' के रूप में अपनी एक प्रति छोड़ देता है। अपनी पकड़ मजबूत करने के लिए, यह विंडोज स्टार्टअप फ़ोल्डर में 'ageless.vbs' नामक एक विज़ुअल बेसिक स्क्रिप्ट (VBS) फ़ाइल भी रखता है। यह सुनिश्चित करता है कि हर बार जब सिस्टम रीबूट होता है, तो मैलवेयर स्वचालित रूप से फिर से लॉन्च हो जाता है, जिससे यह तब भी बना रहता है जब इसकी प्रक्रियाएँ समाप्त हो जाती हैं।

प्रक्रिया खोखलापन: स्पष्ट दृष्टि में छिपना

हमले के अंतिम चरण में प्राथमिक पेलोड को वैध .NET प्रक्रिया में इंजेक्ट करना शामिल है, जैसे कि 'regsvcs.exe', जिसे प्रोसेस होलोइंग के रूप में जाना जाता है। ऐसा करने से, स्नेक कीलॉगर एक विश्वसनीय प्रक्रिया की आड़ में काम करने में सक्षम होता है, जिससे इसका पता लगाना काफी चुनौतीपूर्ण हो जाता है।

कीस्ट्रोक्स लॉग करना और पीड़ितों पर नज़र रखना

क्रेडेंशियल चोरी से परे, स्नेक कीलॉगर कीस्ट्रोक्स को लॉग करके उपयोगकर्ता गतिविधि पर भी नज़र रखता है। यह WH_KEYBOARD_LL फ्लैग (फ्लैग 13) के साथ SetWindowsHookEx API का लाभ उठाता है, जो कि कीस्ट्रोक्स को पकड़ने के लिए डिज़ाइन किया गया एक निम्न-स्तरीय कीबोर्ड हुक है। यह विधि इसे बैंकिंग विवरण और पासवर्ड सहित संवेदनशील इनपुट रिकॉर्ड करने में सक्षम बनाती है। इसके अतिरिक्त, मैलवेयर पीड़ित के आईपी पते और भौगोलिक स्थान को निर्धारित करने के लिए checkip.dyndns.org जैसी बाहरी सेवाओं का उपयोग करता है, जिससे इसकी डेटा संग्रह क्षमताओं में और वृद्धि होती है।

एक सतत और विकसित होता खतरा

स्नेक कीलॉगर का फिर से उभरना साइबर खतरों की उभरती प्रकृति को रेखांकित करता है। ऑटोइट स्क्रिप्टिंग और प्रोसेस होलोइंग जैसी नई तकनीकों का लाभ उठाकर, यह बड़ी संख्या में सिस्टम से समझौता करते हुए पता लगाने से बचता रहता है। इसके तरीकों के बारे में जानकारी रखना और ईमेल को संभालते समय सावधानी बरतना इस लगातार खतरे से जुड़े जोखिमों को कम करने में महत्वपूर्ण है।