Snake Keylogger variantas
Naujas „Snake Keylogger“ variantas aktyviai skirtas „Windows“ vartotojams Kinijoje, Turkijoje, Indonezijoje, Taivane ir Ispanijoje. Tyrėjai stebėjo šią naują versiją ir susiejo ją su nerimą keliančiais 280 milijonų bandymų užsikrėsti visame pasaulyje nuo metų pradžios, pabrėždami platų jos poveikį.
Turinys
Sukčiavimo spąstai: kaip plinta Snake Keylogger
Pagrindinis „Snake Keylogger“ pristatymo būdas išlieka sukčiavimo el. laiškai, įterpti su grėsmingais priedais ar nuorodomis. Kenkėjiška programa gauna prieigą prie nieko neįtariančių vartotojų sistemų, kai jie sąveikauja su šiais apgaulingais el. Jame pagrindinis dėmesys skiriamas jautrių duomenų rinkimui iš plačiai naudojamų žiniatinklio naršyklių, tokių kaip „Chrome“, „Edge“ ir „Firefox“. Tai pasiekiama įrašant klavišų paspaudimus, fiksuojant prisijungimo duomenis ir stebint iškarpinės veiklą.
Duomenų išfiltravimas per netradicinius kanalus
„Snake Keylogger“ neapsiriboja informacijos rinkimu – jis užtikrina, kad pavogti duomenys užpuolikus pasiektų netradiciniais kanalais. Išfiltruoti kredencialai ir neskelbtinos detalės perduodamos naudojant paprastą pašto perdavimo protokolą (SMTP) arba „Telegram“ robotus. Naudodama šiuos metodus, kenkėjiška programa palaiko pastovų pavogtos informacijos srautą į užpuolikų valdomus serverius, apeinant kai kurias tradicines saugos priemones.
„AutoIt“: protinga vengimo technika
Tai, kas išskiria šią naujausią atakų bangą, yra „AutoIt“ scenarijų kalbos naudojimas pirminiam naudingajam kroviniui vykdyti. Kenkėjiška programa yra įterpta į „AutoIt“ sukompiliuotą dvejetainį failą, leidžiantį išvengti tradicinių aptikimo mechanizmų. Šis metodas ne tik apsunkina statinę analizę, bet ir įgalina dinamišką elgesį, kuris labai imituoja teisėtus automatizavimo įrankius, dar labiau užmaskuojant jų buvimą.
Patvarumo sukompromituotose sistemose nustatymas
Įvykdžius Snake Keylogger užtikrina, kad jis liktų aktyvus užkrėstoje sistemoje. Ji numeta savo kopiją kaip „ageless.exe“ į katalogą „%Local_AppData%\supergroup“. Siekdama sustiprinti savo poziciją, ji taip pat įdeda „Visual Basic Script“ (VBS) failą pavadinimu „ageless.vbs“ į „Windows“ paleisties aplanką. Taip užtikrinama, kad kiekvieną kartą, kai sistema paleidžiama iš naujo, kenkėjiška programa automatiškai paleidžiama iš naujo, leidžianti jai išlikti net ir nutraukus jos procesus.
Procesas tuščiaviduris: slėpimas tiesiai į akis
Paskutinis atakos etapas apima pirminės naudingosios apkrovos įterpimą į teisėtą .NET procesą, pvz., „regsvcs.exe“, naudojant metodą, vadinamą proceso tuščiaviduriu. Tai darydamas „Snake Keylogger“ gali veikti prisidengdamas patikimu procesu, todėl jį aptikti yra daug sudėtingiau.
Klavišų paspaudimų registravimas ir aukų sekimas
Be kredencialų vagystės, „Snake Keylogger“ taip pat stebi vartotojo veiklą registruodamas klavišų paspaudimus. Jis naudoja SetWindowsHookEx API su WH_KEYBOARD_LL vėliava (13 vėliava), žemo lygio klaviatūros kabliu, skirtu klavišų paspaudimams užfiksuoti. Šis metodas leidžia įrašyti slaptą įvestį, įskaitant banko informaciją ir slaptažodžius. Be to, kenkėjiška programa naudoja išorines paslaugas, pvz., checkip.dyndns.org, kad nustatytų aukos IP adresą ir geografinę vietą, o tai dar labiau pagerintų duomenų rinkimo galimybes.
Nuolatinė ir besivystanti grėsmė
Snake Keylogger atgimimas pabrėžia besikeičiantį kibernetinių grėsmių pobūdį. Naudodamas naujas technologijas, pvz., AutoIt scenarijus ir proceso tuščiavidurį, jis ir toliau vengia aptikimo ir pažeidžia daugybę sistemų. Norint sumažinti su šia nuolatine grėsme susijusią riziką, labai svarbu būti informuotam apie jos metodus ir elgtis atsargiai tvarkant el. laiškus.
