Varijanta Snake Keyloggera
Nova varijanta Snake Keyloggera aktivno cilja na Windows korisnike diljem Kine, Turske, Indonezije, Tajvana i Španjolske. Istraživači su pratili ovu novu verziju i povezali je s alarmantnih 280 milijuna pokušaja zaraze diljem svijeta od početka godine, naglašavajući njen rašireni utjecaj.
Sadržaj
Zamka za krađu identiteta: Kako se Snake Keylogger širi
Primarni način isporuke za Snake Keylogger ostaju phishing e-poruke s ugrađenim prijetećim privicima ili poveznicama. Zlonamjerni softver dobiva pristup sustavima korisnika koji ništa ne sumnjaju nakon što stupe u interakciju s tim lažnim porukama e-pošte. Usredotočen je na prikupljanje osjetljivih podataka iz široko korištenih web preglednika kao što su Chrome, Edge i Firefox. To postiže snimanjem pritisaka na tipke, hvatanjem vjerodajnica za prijavu i praćenjem aktivnosti međuspremnika.
Eksfiltracija podataka kroz nekonvencionalne kanale
Snake Keylogger ne zaustavlja se na prikupljanju informacija—on osigurava da ukradeni podaci dođu do napadača nekonvencionalnim kanalima. Eksfiltrirane vjerodajnice i osjetljivi detalji prenose se putem Simple Mail Transfer Protocol (SMTP) ili Telegram botova. Korištenjem ovih metoda zlonamjerni softver održava stabilan protok ukradenih informacija do poslužitelja koje kontroliraju napadači, zaobilazeći neke tradicionalne sigurnosne mjere.
AutoIt: Pametna tehnika izbjegavanja
Ono što izdvaja ovaj posljednji val napada je korištenje skriptnog jezika AutoIt za izvršavanje primarnog korisnog opterećenja. Zlonamjerni softver ugrađen je u binarnu datoteku kompajliranu AutoIt-om, što mu omogućuje izbjegavanje tradicionalnih mehanizama otkrivanja. Ovaj pristup ne samo da čini statičku analizu još izazovnijom, već također omogućuje dinamičko ponašanje koje blisko oponaša legitimne alate za automatizaciju, dodatno prikrivajući njihovu prisutnost.
Uspostavljanje postojanosti na kompromitiranim sustavima
Nakon što se izvrši, Snake Keylogger osigurava da ostane aktivan na zaraženom sustavu. Ispušta svoju kopiju kao 'ageless.exe' u direktoriju '%Local_AppData%\supergroup'. Kako bi ojačao svoje uporište, također postavlja datoteku Visual Basic Script (VBS) pod nazivom 'ageless.vbs' u mapu za pokretanje sustava Windows. Ovo osigurava da se svaki put kad se sustav ponovno pokrene, zlonamjerni softver automatski ponovno pokrene, dopuštajući mu da opstane čak i ako se njegovi procesi prekinu.
Proces udubljivanja: skrivanje pred očima
Završna faza napada uključuje ubacivanje primarnog korisnog tereta u legitiman .NET proces, kao što je 'regsvcs.exe', koristeći tehniku poznatu kao proces hollowing. Na taj način Snake Keylogger može djelovati pod krinkom pouzdanog procesa, što ga čini znatno težim za otkrivanje.
Bilježenje pritisaka tipki i praćenje žrtava
Osim krađe vjerodajnica, Snake Keylogger također prati aktivnosti korisnika bilježeći pritiske tipki. Iskorištava API SetWindowsHookEx s oznakom WH_KEYBOARD_LL (oznaka 13), zakačivom tipkovnice niske razine dizajniranom za hvatanje pritisaka tipki. Ova metoda omogućuje snimanje osjetljivih podataka, uključujući bankovne podatke i lozinke. Dodatno, zlonamjerni softver koristi vanjske usluge kao što je checkip.dyndns.org za određivanje IP adrese i geolokacije žrtve, dodatno poboljšavajući svoje mogućnosti prikupljanja podataka.
Stalna prijetnja koja se razvija
Ponovno oživljavanje Snake Keyloggera naglašava evoluirajuću prirodu cyber prijetnji. Koristeći nove tehnike kao što su AutoIt skriptiranje i proces hollowing, nastavlja izbjegavati otkrivanje dok ugrožava ogroman broj sustava. Informiranje o njegovim metodama i oprez pri rukovanju e-poštom i dalje su ključni za ublažavanje rizika povezanih s ovom trajnom prijetnjom.
