Snake Keylogger-variant
En fersk variant av Snake Keylogger retter seg aktivt mot Windows-brukere over hele Kina, Tyrkia, Indonesia, Taiwan og Spania. Forskere har sporet denne nye versjonen og knyttet den til alarmerende 280 millioner infeksjonsforsøk over hele verden siden begynnelsen av året, og fremhever dens utbredte virkning.
Innholdsfortegnelse
Phishing-fellen: Hvordan Snake Keylogger sprer seg
Den primære leveringsmetoden for Snake Keylogger forblir phishing-e-poster innebygd med truende vedlegg eller lenker. Skadevaren får tilgang til systemene til intetanende brukere når de samhandler med disse villedende e-postene. Den fokuserer på å høste sensitive data fra mye brukte nettlesere som Chrome, Edge og Firefox. Den oppnår dette ved å registrere tastetrykk, registrere påloggingsinformasjon og overvåke utklippstavleaktivitet.
Eksfiltrere data gjennom ukonvensjonelle kanaler
Snake Keylogger stopper ikke ved å samle informasjon – den sikrer at de stjålne dataene når angriperne gjennom ukonvensjonelle kanaler. Den eksfiltrerte legitimasjonen og sensitive detaljene overføres gjennom Simple Mail Transfer Protocol (SMTP) eller Telegram-roboter. Ved å bruke disse metodene opprettholder skadelig programvare en jevn strøm av stjålet informasjon til angriperkontrollerte servere, og omgår noen tradisjonelle sikkerhetstiltak.
AutoIt: En smart unnvikelsesteknikk
Det som skiller denne siste bølgen av angrep er bruken av AutoIt-skriptspråket for å utføre den primære nyttelasten. Skadevaren er innebygd i en AutoIt-kompilert binær, slik at den kan unngå tradisjonelle deteksjonsmekanismer. Denne tilnærmingen gjør ikke bare statisk analyse mer utfordrende, men muliggjør også dynamisk atferd som tett etterligner legitime automatiseringsverktøy, og maskerer dens tilstedeværelse ytterligere.
Etablering av utholdenhet på kompromitterte systemer
Når den er utført, sikrer Snake Keylogger at den forblir aktiv på det infiserte systemet. Den slipper en kopi av seg selv som 'ageless.exe' i katalogen '%Local_AppData%\supergroup'. For å styrke fotfestet plasserer den også en Visual Basic Script-fil (VBS) kalt 'ageless.vbs' i Windows Startup-mappen. Dette sikrer at hver gang systemet starter på nytt, starter skadelig programvare automatisk på nytt, slik at den kan vedvare selv om prosessene avsluttes.
Prosess uthuling: gjemmer seg i sikte
Den siste fasen av angrepet innebærer å injisere den primære nyttelasten i en legitim .NET-prosess, for eksempel 'regsvcs.exe', ved å bruke en teknikk kjent som prosessuthuling. Ved å gjøre det, er Snake Keylogger i stand til å operere under dekke av en pålitelig prosess, noe som gjør den betydelig mer utfordrende å oppdage.
Logging av tastetrykk og sporing av ofre
Utover legitimasjonstyveri, overvåker Snake Keylogger også brukeraktivitet ved å logge tastetrykk. Den utnytter SetWindowsHookEx API med WH_KEYBOARD_LL-flagget (flagg 13), en tastaturkrok på lavt nivå designet for å fange opp tastetrykk. Denne metoden gjør det mulig å registrere sensitive inndata, inkludert bankdetaljer og passord. I tillegg bruker skadevaren eksterne tjenester som checkip.dyndns.org for å bestemme offerets IP-adresse og geolokalisering, noe som ytterligere forbedrer datainnsamlingsmulighetene.
En vedvarende og utviklende trussel
Gjenoppblomstringen av Snake Keylogger understreker den utviklende naturen til cybertrusler. Ved å utnytte nye teknikker som AutoIt-skripting og prosessuthuling, fortsetter den å unngå deteksjon mens den kompromitterer et stort antall systemer. Å holde seg informert om metodene og utvise forsiktighet ved håndtering av e-poster er fortsatt avgjørende for å redusere risikoen forbundet med denne vedvarende trusselen.
