Snake Keylogger variants
Jauns Snake Keylogger variants ir aktīvi paredzēts Windows lietotājiem Ķīnā, Turcijā, Indonēzijā, Taivānā un Spānijā. Pētnieki ir izsekojuši šo jauno versiju un saistījuši to ar satraucošiem 280 miljoniem inficēšanās mēģinājumu visā pasaulē kopš gada sākuma, uzsverot tās plašo ietekmi.
Satura rādītājs
Pikšķerēšanas slazds: kā izplatās Snake Keylogger
Galvenā Snake Keylogger piegādes metode joprojām ir pikšķerēšanas e-pasta ziņojumi, kas ir iegulti ar draudīgiem pielikumiem vai saitēm. Ļaunprātīga programmatūra iegūst piekļuvi nenojaušo lietotāju sistēmām, tiklīdz viņi mijiedarbojas ar šiem maldinošajiem e-pastiem. Tā koncentrējas uz sensitīvu datu ievākšanu no plaši izmantotām tīmekļa pārlūkprogrammām, piemēram, Chrome, Edge un Firefox. Tas tiek panākts, ierakstot taustiņsitienus, tverot pieteikšanās akreditācijas datus un uzraugot starpliktuves darbību.
Datu izfiltrēšana, izmantojot netradicionālus kanālus
Snake Keylogger neapstājas ar informācijas ievākšanu — tas nodrošina, ka nozagtie dati sasniedz uzbrucējus pa netradicionāliem kanāliem. Izfiltrētie akreditācijas dati un sensitīvā informācija tiek pārsūtīta, izmantojot vienkāršā pasta pārsūtīšanas protokolu (SMTP) vai telegrammas robotus. Izmantojot šīs metodes, ļaunprogrammatūra nodrošina vienmērīgu nozagtas informācijas plūsmu uz uzbrucēju kontrolētiem serveriem, apejot dažus tradicionālos drošības pasākumus.
AutoIt: gudrs izvairīšanās paņēmiens
Šis jaunākais uzbrukumu vilnis izceļas ar AutoIt skriptu valodas izmantošanu, lai izpildītu primāro slodzi. Ļaunprātīga programmatūra ir iegulta AutoIt kompilētā binārā failā, ļaujot tai izvairīties no tradicionālajiem noteikšanas mehānismiem. Šī pieeja ne tikai padara statisko analīzi grūtāku, bet arī nodrošina dinamisku uzvedību, kas precīzi atdarina likumīgus automatizācijas rīkus, vēl vairāk maskējot tā klātbūtni.
Noturības noteikšana kompromitētās sistēmās
Pēc izpildes Snake Keylogger nodrošina, ka tas paliek aktīvs inficētajā sistēmā. Tā nolaiž savu kopiju kā “ageless.exe” direktorijā “%Local_AppData%\supergroup”. Lai nostiprinātu savu stabilitāti, tā Windows startēšanas mapē ievieto arī Visual Basic Script (VBS) failu ar nosaukumu "ageless.vbs". Tas nodrošina, ka ikreiz, kad sistēma tiek atsāknēta, ļaunprātīga programmatūra tiek automātiski palaista, ļaujot tai saglabāties pat tad, ja tās procesi tiek pārtraukti.
Dobšanas process: slēpšanās redzamā vietā
Uzbrukuma pēdējais posms ietver primārās derīgās slodzes ievadīšanu likumīgā .NET procesā, piemēram, “regsvcs.exe”, izmantojot paņēmienu, kas pazīstams kā procesa dobums. Šādi rīkojoties, Snake Keylogger var darboties uzticama procesa aizsegā, padarot to ievērojami sarežģītāku noteikšanu.
Taustiņu nospiešanu reģistrēšana un upuru izsekošana
Papildus akreditācijas datu zādzībai Snake Keylogger arī uzrauga lietotāju aktivitātes, reģistrējot taustiņu nospiešanu. Tas izmanto SetWindowsHookEx API ar karodziņu WH_KEYBOARD_LL (karogs 13), zema līmeņa tastatūras āķi, kas paredzēts taustiņu nospiešanas tveršanai. Šī metode ļauj tai ierakstīt sensitīvu ievadi, tostarp bankas informāciju un paroles. Turklāt ļaunprātīgā programmatūra izmanto ārējos pakalpojumus, piemēram, checkip.dyndns.org, lai noteiktu upura IP adresi un ģeogrāfisko atrašanās vietu, vēl vairāk uzlabojot tās datu vākšanas iespējas.
Pastāvīgs un mainīgs drauds
Snake Keylogger atdzimšana uzsver kiberdraudu mainīgo raksturu. Izmantojot jaunas metodes, piemēram, AutoIt skriptēšanu un procesa dobumu, tas turpina izvairīties no atklāšanas, vienlaikus apdraudot lielu skaitu sistēmu. Lai mazinātu ar šo pastāvīgo apdraudējumu saistītos riskus, joprojām ir ļoti svarīgi būt informētam par tās metodēm un ievērot piesardzību, apstrādājot e-pastus.
