Snake Keylogger Variant
A Snake Keylogger új változata Kínában, Törökországban, Indonéziában, Tajvanon és Spanyolországban aktívan megcélozza a Windows felhasználókat. A kutatók nyomon követték ezt az új verziót, és az év eleje óta világszerte 280 millió riasztó fertőzési kísérlettel hozták összefüggésbe, kiemelve széleskörű hatását.
Tartalomjegyzék
Az adathalász csapda: Hogyan terjed a Snake Keylogger
A Snake Keylogger elsődleges kézbesítési módja továbbra is a fenyegető mellékletekkel vagy linkekkel beágyazott adathalász e-mailek. A rosszindulatú program hozzáférhet a gyanútlan felhasználók rendszereihez, amint kapcsolatba lépnek ezekkel a megtévesztő e-mailekkel. A széles körben használt webböngészők, például a Chrome, az Edge és a Firefox érzékeny adatok begyűjtésére összpontosít. Ezt a billentyűleütések rögzítésével, a bejelentkezési adatok rögzítésével és a vágólap tevékenységének figyelésével éri el.
Adatok kiszűrése nem szokványos csatornákon keresztül
A Snake Keylogger nem áll meg az információgyűjtésnél – biztosítja, hogy az ellopott adatok szokatlan csatornákon keresztül eljussanak a támadókhoz. A kiszűrt hitelesítő adatokat és kényes részleteket az Simple Mail Transfer Protocol (SMTP) vagy a Telegram botokon keresztül továbbítják. Ezeket a módszereket alkalmazva a rosszindulatú program az ellopott információk folyamatos áramlását tartja fenn a támadók által irányított szerverek felé, megkerülve néhány hagyományos biztonsági intézkedést.
AutoIt: Okos kijátszási technika
Ami a támadások legújabb hullámát különbözteti meg egymástól, az az AutoIt szkriptnyelv használata az elsődleges hasznos terhelés végrehajtására. A rosszindulatú program egy AutoIt által lefordított binárisba van beágyazva, lehetővé téve, hogy kikerülje a hagyományos észlelési mechanizmusokat. Ez a megközelítés nemcsak nagyobb kihívást jelent a statikus elemzéshez, hanem lehetővé teszi a dinamikus viselkedést is, amely szorosan utánozza a legitim automatizálási eszközöket, és még jobban elfedi a jelenlétüket.
Perzisztencia kialakítása kompromittált rendszereken
A végrehajtás után a Snake Keylogger biztosítja, hogy aktív maradjon a fertőzött rendszeren. Eldobja saját „ageless.exe” néven a „%Local_AppData%\supergroup” könyvtárba. Lábának megerősítése érdekében egy Visual Basic Script (VBS) fájlt is elhelyez, melynek neve ageless.vbs a Windows indítási mappájában. Ez biztosítja, hogy minden alkalommal, amikor a rendszer újraindul, a rosszindulatú program automatikusan újraindul, és lehetővé teszi, hogy akkor is fennmaradjon, ha folyamatai leállnak.
Üregesedés folyamata: elrejtőzés szem előtt
A támadás utolsó szakaszában az elsődleges hasznos adatot egy legitim .NET-folyamatba, például a „regsvcs.exe”-be fecskendezik, a folyamatürítésnek nevezett technikával. Ezáltal a Snake Keylogger képes működni egy megbízható folyamat leple alatt, ami jelentősen megnehezíti az észlelést.
A billentyűleütések naplózása és az áldozatok követése
A hitelesítő adatok ellopásán túl a Snake Keylogger a billentyűleütések naplózásával is figyeli a felhasználói tevékenységet. Kihasználja a SetWindowsHookEx API-t a WH_KEYBOARD_LL jelzővel (13-as jelző), egy alacsony szintű billentyűzet-hook, amelyet a billentyűleütések rögzítésére terveztek. Ez a módszer lehetővé teszi az érzékeny bevitel rögzítését, beleértve a banki adatokat és jelszavakat. Ezenkívül a rosszindulatú program olyan külső szolgáltatásokat használ, mint a checkip.dyndns.org, hogy meghatározza az áldozat IP-címét és földrajzi elhelyezkedését, tovább javítva adatgyűjtési képességeit.
Tartós és folyamatosan fejlődő fenyegetés
A Snake Keylogger újjáéledése aláhúzza a kiberfenyegetések fejlődő természetét. Az új technikák, például az AutoIt szkriptelés és a folyamatok kiürítése révén továbbra is elkerüli az észlelést, miközben számos rendszert veszélyeztet. A módszerekkel kapcsolatos tájékozottság és az e-mailek kezelése során az óvatosság továbbra is kulcsfontosságú a folyamatos fenyegetéssel kapcsolatos kockázatok mérséklésében.
