Variante di Snake Keylogger
Una nuova variante di Snake Keylogger sta prendendo di mira attivamente gli utenti Windows in Cina, Turchia, Indonesia, Taiwan e Spagna. I ricercatori hanno monitorato questa nuova versione e l'hanno collegata a un allarmante numero di 280 milioni di tentativi di infezione in tutto il mondo dall'inizio dell'anno, evidenziandone l'impatto diffuso.
Sommario
La trappola del phishing: come si diffonde il keylogger Snake
Il metodo di distribuzione principale per Snake Keylogger rimane l'invio di e-mail di phishing con allegati o link minacciosi. Il malware ottiene l'accesso ai sistemi di utenti ignari una volta che interagiscono con queste e-mail ingannevoli. Si concentra sulla raccolta di dati sensibili da browser Web ampiamente utilizzati come Chrome, Edge e Firefox. Lo fa registrando le sequenze di tasti, catturando le credenziali di accesso e monitorando l'attività degli appunti.
Esfiltrazione dei dati attraverso canali non convenzionali
Snake Keylogger non si limita a raccogliere informazioni, ma assicura che i dati rubati raggiungano gli aggressori tramite canali non convenzionali. Le credenziali esfiltrate e i dettagli sensibili vengono trasmessi tramite Simple Mail Transfer Protocol (SMTP) o bot Telegram. Utilizzando questi metodi, il malware mantiene un flusso costante di informazioni rubate verso server controllati dagli aggressori, aggirando alcune misure di sicurezza tradizionali.
AutoIt: una tecnica di evasione intelligente
Ciò che distingue questa ultima ondata di attacchi è l'uso del linguaggio di scripting AutoIt per eseguire il payload primario. Il malware è incorporato in un binario compilato da AutoIt, il che gli consente di eludere i meccanismi di rilevamento tradizionali. Questo approccio non solo rende l'analisi statica più impegnativa, ma consente anche un comportamento dinamico che imita da vicino gli strumenti di automazione legittimi, mascherandone ulteriormente la presenza.
Stabilire la persistenza sui sistemi compromessi
Una volta eseguito, Snake Keylogger assicura di rimanere attivo sul sistema infetto. Rilascia una copia di se stesso come 'ageless.exe' nella directory '%Local_AppData%\supergroup'. Per rafforzare la sua posizione, posiziona anche un file Visual Basic Script (VBS) denominato 'ageless.vbs' nella cartella di avvio di Windows. Ciò garantisce che ogni volta che il sistema si riavvia, il malware si riavvii automaticamente, consentendogli di persistere anche se i suoi processi vengono terminati.
Process Hollowing: nascondersi in bella vista
La fase finale dell'attacco prevede l'iniezione del payload primario in un processo .NET legittimo, come 'regsvcs.exe', utilizzando una tecnica nota come process hollowing. In questo modo, Snake Keylogger è in grado di operare sotto le mentite spoglie di un processo attendibile, rendendolo notevolmente più difficile da rilevare.
Registrazione delle sequenze di tasti e monitoraggio delle vittime
Oltre al furto di credenziali, Snake Keylogger monitora anche l'attività dell'utente registrando le sequenze di tasti. Sfrutta l'API SetWindowsHookEx con il flag WH_KEYBOARD_LL (flag 13), un hook di tastiera di basso livello progettato per catturare le sequenze di tasti. Questo metodo gli consente di registrare input sensibili, inclusi dati bancari e password. Inoltre, il malware utilizza servizi esterni come checkip.dyndns.org per determinare l'indirizzo IP e la geolocalizzazione della vittima, migliorando ulteriormente le sue capacità di raccolta dati.
Una minaccia persistente e in continua evoluzione
La rinascita di Snake Keylogger sottolinea la natura in evoluzione delle minacce informatiche. Sfruttando nuove tecniche come AutoIt scripting e process hollowing, continua a eludere il rilevamento, compromettendo al contempo un vasto numero di sistemi. Restare informati sui suoi metodi ed esercitare cautela quando si gestiscono le e-mail rimane fondamentale per mitigare i rischi associati a questa minaccia persistente.
