Snake Keylogger Variant
Varian baharu Snake Keylogger secara aktif menyasarkan pengguna Windows di seluruh China, Turki, Indonesia, Taiwan dan Sepanyol. Penyelidik telah menjejaki versi baharu ini dan mengaitkannya dengan 280 juta percubaan jangkitan yang membimbangkan di seluruh dunia sejak awal tahun, menonjolkan kesannya yang meluas.
Isi kandungan
Perangkap Pancingan Data: Cara Pemicu Kunci Ular Menyebar
Kaedah penghantaran utama untuk Snake Keylogger kekal dengan e-mel pancingan data yang dibenamkan dengan lampiran atau pautan yang mengancam. Malware mendapat akses kepada sistem pengguna yang tidak curiga sebaik sahaja mereka berinteraksi dengan e-mel yang mengelirukan ini. Ia memberi tumpuan kepada penuaian data sensitif daripada pelayar Web yang digunakan secara meluas seperti Chrome, Edge dan Firefox. Ia mencapai ini dengan merakam ketukan kekunci, menangkap bukti kelayakan log masuk dan memantau aktiviti papan keratan.
Mengeluarkan Data Melalui Saluran Bukan Konvensional
Snake Keylogger tidak berhenti pada penuaian maklumat—ia memastikan data yang dicuri sampai kepada penyerang melalui saluran yang tidak konvensional. Bukti kelayakan yang dieksfiltrasi dan butiran sensitif dihantar melalui Protokol Pemindahan Mel Mudah (SMTP) atau bot Telegram. Dengan menggunakan kaedah ini, perisian hasad mengekalkan aliran berterusan maklumat yang dicuri ke pelayan dikawal penyerang, memintas beberapa langkah keselamatan tradisional.
AutoIt: Teknik Mengelak Pintar
Apa yang membezakan gelombang serangan terbaharu ini ialah penggunaan bahasa skrip AutoIt untuk melaksanakan muatan utama. Perisian hasad dibenamkan dalam binari yang disusun AutoIt, membolehkannya mengelak daripada mekanisme pengesanan tradisional. Pendekatan ini bukan sahaja menjadikan analisis statik lebih mencabar tetapi juga membolehkan tingkah laku dinamik yang hampir meniru alat automasi yang sah, seterusnya menutup kehadirannya.
Mewujudkan Kegigihan pada Sistem Terkompromi
Setelah dilaksanakan, Snake Keylogger memastikan ia kekal aktif pada sistem yang dijangkiti. Ia menjatuhkan salinan dirinya sebagai 'ageless.exe' dalam direktori '%Local_AppData%\supergroup'. Untuk mengukuhkan kedudukannya, ia juga meletakkan fail Visual Basic Script (VBS) bernama 'ageless.vbs' dalam folder Windows Startup. Ini memastikan bahawa setiap kali sistem but semula, perisian hasad secara automatik dilancarkan semula, membolehkan ia berterusan walaupun prosesnya ditamatkan.
Proses Hollowing: Bersembunyi dalam Penglihatan Biasa
Peringkat akhir serangan melibatkan menyuntik muatan utama ke dalam proses .NET yang sah, seperti 'regsvcs.exe,' menggunakan teknik yang dikenali sebagai proses hollowing. Dengan berbuat demikian, Snake Keylogger dapat beroperasi di bawah nama proses yang dipercayai, menjadikannya lebih mencabar untuk dikesan.
Mengelog Ketukan Kekunci dan Menjejaki Mangsa
Di luar kecurian kelayakan, Snake Keylogger juga memantau aktiviti pengguna dengan mengelog ketukan kekunci. Ia memanfaatkan API SetWindowsHookEx dengan bendera WH_KEYBOARD_LL (bendera 13), cangkuk papan kekunci peringkat rendah yang direka untuk menangkap ketukan kekunci. Kaedah ini membolehkannya merekodkan input sensitif, termasuk butiran perbankan dan kata laluan. Selain itu, perisian hasad menggunakan perkhidmatan luaran seperti checkip.dyndns.org untuk menentukan alamat IP dan geolokasi mangsa, meningkatkan lagi keupayaan pengumpulan datanya.
Ancaman yang Berterusan dan Berkembang
Kebangkitan semula Snake Keylogger menggariskan sifat ancaman siber yang semakin berkembang. Dengan memanfaatkan teknik baharu seperti skrip AutoIt dan proses hollowing, ia terus mengelak pengesanan sambil menjejaskan sejumlah besar sistem. Mengekalkan maklumat tentang kaedahnya dan berhati-hati semasa mengendalikan e-mel kekal penting dalam mengurangkan risiko yang berkaitan dengan ancaman berterusan ini.
