Perisian Hasad SnappyClient
SnappyClient ialah perisian hasad yang sangat canggih yang ditulis dalam C++ dan diedarkan melalui pemuat yang dikenali sebagai HijackLoader. Ia berfungsi sebagai Trojan Akses Jauh (RAT), yang membolehkan penjenayah siber mengawal sistem yang diceroboh dan mengekstrak data sensitif. Sebaik sahaja berada di dalam peranti, perisian hasad tersebut bersambung ke pelayan Perintah dan Kawalan (C2) untuk menerima arahan dan melaksanakan operasi berniat jahat.
Isi kandungan
Teknik Pengelakan dan Manipulasi Sistem
Untuk kekal tidak dikesan, SnappyClient mengganggu mekanisme keselamatan Windows terbina dalam. Taktik utama melibatkan pengubahan Antara Muka Imbas Antiperisian Hasad (AMSI), yang bertanggungjawab untuk mengimbas skrip dan kod untuk tingkah laku berniat jahat. Daripada membenarkan AMSI menandakan ancaman, perisian hasad memanipulasi outputnya supaya aktiviti berbahaya kelihatan selamat.
Perisian hasad ini juga bergantung pada senarai konfigurasi dalaman yang menentukan kelakuannya. Tetapan ini menentukan data yang dikumpul, di mana ia disimpan, bagaimana kegigihan dikekalkan dan sama ada pelaksanaan diteruskan dalam keadaan tertentu. Konfigurasi ini memastikan perisian hasad kekal aktif walaupun selepas sistem dibut semula.
Selain itu, SnappyClient mengambil dua fail yang disulitkan daripada pelayan yang dikawal oleh penyerang. Fail-fail ini disimpan dalam format tersembunyi dan digunakan untuk mengawal fungsi perisian hasad secara dinamik pada sistem yang dijangkiti.
Keupayaan Kawalan Sistem yang Luas
SnappyClient menyediakan penyerang dengan kawalan mendalam ke atas peranti yang diceroboh. Ia boleh merakam tangkapan skrin dan menghantarnya kepada pengendali jauh, menawarkan pandangan langsung tentang aktiviti pengguna. Perisian hasad ini juga membolehkan pengurusan proses penuh, membolehkan penyerang memantau, menggantung, menyambung semula atau menamatkan proses yang sedang berjalan. Tambahan pula, ia menyokong suntikan kod ke dalam proses yang sah, membantunya beroperasi secara rahsia dalam sistem.
Manipulasi sistem fail merupakan satu lagi keupayaan teras. Perisian hasad ini boleh menyemak imbas direktori, mencipta atau memadam fail dan folder, dan menjalankan operasi seperti menyalin, memindahkan, menamakan semula, memampatkan atau mengekstrak arkib, malah arkib yang dilindungi dengan kata laluan. Ia juga boleh melaksanakan fail dan menganalisis pintasan.
Fungsi Kecurian dan Pengawasan Data
Objektif utama SnappyClient adalah untuk mengekstrak data. Ia termasuk keylogger terbina dalam yang merekodkan ketukan kekunci dan menghantar data yang ditangkap kepada penyerang. Selain itu, ia mengekstrak pelbagai maklumat sensitif daripada pelayar dan aplikasi lain, termasuk kelayakan log masuk, kuki, sejarah pelayaran, penanda buku, data sesi dan maklumat berkaitan sambungan.
Perisian hasad ini juga boleh mencari dan mencuri fail atau direktori tertentu berdasarkan penapis yang ditentukan oleh penyerang seperti nama atau laluan fail. Selain penapisan, ia mampu memuat turun fail dari pelayan jauh dan menyimpannya secara setempat pada mesin yang dijangkiti.
Ciri Pelaksanaan dan Eksploitasi Lanjutan
SnappyClient menyokong pelbagai kaedah untuk melaksanakan muatan berniat jahat. Ia boleh menjalankan fail boleh laku standard, memuatkan pustaka pautan dinamik (DLL) atau mengekstrak dan melaksanakan kandungan daripada fail yang diarkibkan. Ia juga membolehkan penyerang menentukan parameter pelaksanaan seperti direktori kerja dan argumen baris arahan. Dalam beberapa kes, ia cuba memintas Kawalan Akaun Pengguna (UAC) untuk mendapatkan keistimewaan yang lebih tinggi.
Ciri-ciri penting lain termasuk keupayaan untuk melancarkan sesi pelayar tersembunyi, membolehkan penyerang memantau dan memanipulasi aktiviti web tanpa kesedaran pengguna. Ia juga menyediakan antara muka baris arahan untuk melaksanakan arahan sistem dari jauh. Manipulasi papan klip merupakan satu lagi fungsi berbahaya, yang sering digunakan untuk menggantikan alamat dompet mata wang kripto dengan alamat yang dikawal oleh penyerang.
Aplikasi dan Sumber Data yang Disasarkan
SnappyClient direka bentuk untuk mengekstrak maklumat daripada pelbagai aplikasi, terutamanya pelayar web dan alat mata wang kripto.
Pelayar web yang disasarkan termasuk:
Pelayar 360, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi dan Waterfox
Dompet dan alat mata wang kripto yang disasarkan termasuk:
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomik, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite dan Wasabi
Penyasaran luas ini meningkatkan potensi kecurian kewangan dan pencerobohan kelayakan dengan ketara.
Kaedah Pengedaran Menipu
SnappyClient terutamanya tersebar melalui teknik penghantaran yang mengelirukan yang direka untuk memperdaya pengguna agar melaksanakan fail berniat jahat. Satu kaedah biasa melibatkan laman web palsu yang menyamar sebagai syarikat telekomunikasi yang sah. Apabila dilawati, laman web ini memuat turun HijackLoader secara senyap ke peranti mangsa. Jika dilaksanakan, pemuat akan menggunakan SnappyClient.
Satu lagi taktik berbahaya memanfaatkan platform media sosial seperti X (lebih dikenali sebagai Twitter). Penyerang menyiarkan pautan atau arahan yang menarik pengguna untuk memulakan muat turun, kadangkala menggunakan teknik seperti ClickFix. Tindakan ini akhirnya membawa kepada pelaksanaan HijackLoader dan pemasangan perisian hasad.
Risiko dan Kesan Jangkitan
SnappyClient merupakan ancaman keselamatan siber yang serius disebabkan oleh sifatnya yang tersembunyi, serba boleh dan keupayaannya yang luas. Setelah digunakan, ia membolehkan penyerang memantau aktiviti pengguna, mencuri maklumat sensitif, memanipulasi operasi sistem dan melaksanakan muatan berniat jahat tambahan.
Akibat jangkitan sedemikian boleh menjadi teruk, termasuk rampasan akaun, kecurian identiti, kerugian kewangan, jangkitan perisian hasad selanjutnya dan pencerobohan sistem jangka panjang.
