Malware SnappyClient
SnappyClient è un malware altamente avanzato scritto in C++ e distribuito tramite un loader noto come HijackLoader. Funziona come un Trojan di accesso remoto (RAT), consentendo ai criminali informatici di assumere il controllo dei sistemi compromessi ed estrarre dati sensibili. Una volta all'interno di un dispositivo, il malware si connette a un server di comando e controllo (C2) per ricevere istruzioni ed eseguire operazioni dannose.
Sommario
Tecniche di elusione e manipolazione del sistema
Per non essere rilevato, SnappyClient interferisce con i meccanismi di sicurezza integrati di Windows. Una tattica chiave consiste nel manomettere l'Antimalware Scan Interface (AMSI), responsabile della scansione di script e codice alla ricerca di attività dannose. Invece di consentire ad AMSI di segnalare le minacce, il malware ne manipola l'output in modo che l'attività dannosa appaia sicura.
Il malware si basa anche su un elenco di configurazione interno che ne determina il comportamento. Queste impostazioni stabiliscono quali dati vengono raccolti, dove vengono archiviati, come viene mantenuta la persistenza e se l'esecuzione continua in determinate condizioni. Tale configurazione garantisce che il malware rimanga attivo anche dopo il riavvio del sistema.
Inoltre, SnappyClient recupera due file crittografati dai server controllati dall'attaccante. Questi file vengono memorizzati in un formato nascosto e utilizzati per controllare dinamicamente le funzionalità del malware sul sistema infetto.
Ampie capacità di controllo del sistema
SnappyClient offre agli aggressori un controllo profondo sui dispositivi compromessi. Può acquisire screenshot e trasmetterli a operatori remoti, fornendo una visione diretta dell'attività dell'utente. Il malware consente inoltre la gestione completa dei processi, permettendo agli aggressori di monitorare, sospendere, riprendere o terminare i processi in esecuzione. Inoltre, supporta l'iniezione di codice in processi legittimi, consentendogli di operare in modo occulto all'interno del sistema.
Un'altra capacità fondamentale è la manipolazione del file system. Il malware può esplorare le directory, creare o eliminare file e cartelle ed eseguire operazioni come copiare, spostare, rinominare, comprimere o estrarre archivi, anche quelli protetti da password. Può inoltre eseguire file e analizzare i collegamenti.
Furto di dati e funzioni di sorveglianza
Uno degli obiettivi principali di SnappyClient è l'esfiltrazione dei dati. Include un keylogger integrato che registra i tasti premuti e invia i dati acquisiti agli aggressori. Inoltre, estrae un'ampia gamma di informazioni sensibili da browser e altre applicazioni, tra cui credenziali di accesso, cookie, cronologia di navigazione, segnalibri, dati di sessione e informazioni relative alle estensioni.
Il malware è anche in grado di cercare e rubare file o directory specifici in base a filtri definiti dall'attaccante, come nomi di file o percorsi. Oltre all'esfiltrazione, è capace di scaricare file da server remoti e memorizzarli localmente sul computer infetto.
Funzionalità avanzate di esecuzione e sfruttamento
SnappyClient supporta diversi metodi per l'esecuzione di payload dannosi. Può eseguire file eseguibili standard, caricare librerie a collegamento dinamico (DLL) o estrarre ed eseguire contenuti da file compressi. Consente inoltre agli aggressori di definire parametri di esecuzione come directory di lavoro e argomenti della riga di comando. In alcuni casi, tenta di aggirare il Controllo dell'account utente (UAC) per ottenere privilegi elevati.
Tra le altre caratteristiche degne di nota, si segnala la possibilità di avviare sessioni di navigazione nascoste, che consentono agli aggressori di monitorare e manipolare l'attività web all'insaputa dell'utente. Il programma offre anche un'interfaccia a riga di comando per l'esecuzione remota di comandi di sistema. Un'altra funzione pericolosa è la manipolazione degli appunti, spesso utilizzata per sostituire gli indirizzi dei portafogli di criptovalute con quelli controllati dagli aggressori.
Applicazioni mirate e fonti di dati
SnappyClient è progettato per estrarre informazioni da un'ampia gamma di applicazioni, in particolare browser web e strumenti per criptovalute.
I browser web interessati includono:
360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi e Waterfox
Tra i portafogli e gli strumenti di criptovaluta mirati figurano:
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite e Wasabi
Questa ampia strategia di targeting aumenta significativamente il potenziale di furto finanziario e di compromissione delle credenziali.
Metodi di distribuzione ingannevoli
SnappyClient si diffonde principalmente attraverso tecniche di distribuzione ingannevoli progettate per indurre gli utenti a eseguire file dannosi. Un metodo comune prevede l'utilizzo di siti web falsi che imitano legittime compagnie di telecomunicazioni. Quando vengono visitati, questi siti scaricano silenziosamente HijackLoader sul dispositivo della vittima. Se eseguito, il loader installa SnappyClient.
Un'altra tattica di spionaggio sfrutta le piattaforme dei social media come X (meglio conosciuto come Twitter). Gli aggressori pubblicano link o istruzioni che inducono gli utenti ad avviare download, a volte utilizzando tecniche come ClickFix. Queste azioni portano infine all'esecuzione di HijackLoader e all'installazione del malware.
I rischi e l’impatto dell’infezione
SnappyClient rappresenta una seria minaccia per la sicurezza informatica a causa della sua capacità di mimetizzarsi, della sua versatilità e delle sue ampie funzionalità. Una volta installato, consente agli aggressori di monitorare l'attività degli utenti, rubare informazioni sensibili, manipolare le operazioni di sistema ed eseguire ulteriori payload dannosi.
Le conseguenze di tali infezioni possono essere gravi e includono il furto di identità, la sottrazione di account, perdite finanziarie, ulteriori infezioni da malware e la compromissione a lungo termine del sistema.
