Snake Keylogger Variant
Snake Keylogger의 새로운 변종이 중국, 터키, 인도네시아, 대만, 스페인의 Windows 사용자를 적극적으로 표적으로 삼고 있습니다. 연구자들은 이 새로운 버전을 추적하여 올해 초부터 전 세계적으로 2억 8천만 건의 놀라운 감염 시도와 연결하여 광범위한 영향을 강조했습니다.
목차
피싱 트랩: 스네이크 키로거가 퍼지는 방식
Snake Keylogger 의 주요 전달 방법은 위협적인 첨부 파일이나 링크가 포함된 피싱 이메일입니다. 이 맬웨어는 의심하지 않는 사용자가 이러한 사기성 이메일과 상호 작용하면 해당 사용자의 시스템에 액세스합니다. Chrome, Edge, Firefox와 같이 널리 사용되는 웹 브라우저에서 민감한 데이터를 수집하는 데 중점을 둡니다. 키 입력을 기록하고, 로그인 자격 증명을 캡처하고, 클립보드 활동을 모니터링하여 이를 달성합니다.
비전통적 채널을 통한 데이터 유출
Snake Keylogger는 정보 수집에 그치지 않습니다. 도난당한 데이터가 비전통적인 채널을 통해 공격자에게 도달하도록 합니다. 유출된 자격 증명과 민감한 세부 정보는 SMTP(Simple Mail Transfer Protocol) 또는 Telegram 봇을 통해 전송됩니다. 이러한 방법을 사용하여 맬웨어는 일부 기존 보안 조치를 우회하여 공격자가 제어하는 서버로 도난당한 정보를 꾸준히 유지합니다.
AutoIt: 영리한 회피 기법
이 최근의 공격을 차별화하는 것은 AutoIt 스크립팅 언어를 사용하여 기본 페이로드를 실행한다는 것입니다. 이 맬웨어는 AutoIt 컴파일된 바이너리에 내장되어 있어 기존의 탐지 메커니즘을 회피할 수 있습니다. 이 접근 방식은 정적 분석을 더 어렵게 만들 뿐만 아니라 합법적인 자동화 도구를 밀접하게 모방하는 동적 동작을 가능하게 하여 존재를 더욱 가립니다.
손상된 시스템에서 지속성 설정
실행되면 Snake Keylogger는 감염된 시스템에서 계속 활성화되도록 합니다. '%Local_AppData%\supergroup' 디렉터리에 'ageless.exe'라는 이름으로 자체 사본을 드롭합니다. 발판을 강화하기 위해 Windows 시작 폴더에 'ageless.vbs'라는 이름의 Visual Basic Script(VBS) 파일도 배치합니다. 이렇게 하면 시스템이 재부팅될 때마다 맬웨어가 자동으로 다시 시작되어 프로세스가 종료되어도 지속될 수 있습니다.
프로세스 홀로우링: 평범한 시야에 숨기기
공격의 마지막 단계는 프로세스 홀로잉이라는 기술을 사용하여 'regsvcs.exe'와 같은 합법적인 .NET 프로세스에 기본 페이로드를 주입하는 것입니다. 이를 통해 Snake Keylogger는 신뢰할 수 있는 프로세스의 모습으로 작동할 수 있어 감지하기가 훨씬 더 어려워집니다.
키 입력 기록 및 피해자 추적
신원 정보 도용 외에도 Snake Keylogger는 키 입력을 기록하여 사용자 활동을 모니터링합니다. WH_KEYBOARD_LL 플래그(플래그 13)가 있는 SetWindowsHookEx API를 활용하는데, 이는 키 입력을 캡처하도록 설계된 저수준 키보드 후크입니다. 이 방법을 사용하면 은행 세부 정보와 비밀번호를 포함한 민감한 입력을 기록할 수 있습니다. 또한 이 맬웨어는 checkip.dyndns.org와 같은 외부 서비스를 사용하여 피해자의 IP 주소와 지리적 위치를 파악하여 데이터 수집 기능을 더욱 강화합니다.
지속적이고 진화하는 위협
Snake Keylogger의 부활은 사이버 위협의 진화하는 본질을 강조합니다. AutoIt 스크립팅 및 프로세스 홀로잉과 같은 새로운 기술을 활용하여 탐지를 계속 피하면서 수많은 시스템을 손상시킵니다. 이 방법에 대한 정보를 얻고 이메일을 처리할 때 주의를 기울이는 것은 이 지속적인 위협과 관련된 위험을 완화하는 데 여전히 중요합니다.
