Snake Keylogger Variant
स्नेक किलगरको नयाँ संस्करणले चीन, टर्की, इन्डोनेसिया, ताइवान र स्पेनभरि विन्डोज प्रयोगकर्ताहरूलाई सक्रिय रूपमा लक्षित गरिरहेको छ। अनुसन्धानकर्ताहरूले यो नयाँ संस्करण ट्र्याक गरेका छन् र यसलाई वर्षको सुरुदेखि नै विश्वव्यापी रूपमा २८ करोड संक्रमण प्रयासहरूसँग जोडेका छन्, जसले यसको व्यापक प्रभावलाई प्रकाश पार्छ।
सामग्रीको तालिका
फिसिङ ट्र्याप: स्नेक किलगर कसरी फैलिन्छ
स्नेक किलगरको लागि प्राथमिक डेलिभरी विधि भनेको धम्कीपूर्ण संलग्नकहरू वा लिङ्कहरू सहितको फिशिङ इमेलहरू रहन्छ। मालवेयरले यी भ्रामक इमेलहरूसँग अन्तर्क्रिया गरेपछि शंका नगर्ने प्रयोगकर्ताहरूको प्रणालीहरूमा पहुँच प्राप्त गर्दछ। यसले क्रोम, एज र फायरफक्स जस्ता व्यापक रूपमा प्रयोग हुने वेब ब्राउजरहरूबाट संवेदनशील डेटा सङ्कलनमा केन्द्रित छ। यसले किस्ट्रोकहरू रेकर्ड गरेर, लगइन प्रमाणहरू खिच्दै र क्लिपबोर्ड गतिविधि निगरानी गरेर यो प्राप्त गर्दछ।
अपरम्परागत च्यानलहरू मार्फत डेटा एक्सफिल्ट्रेट गर्दै
स्नेक किलगरले जानकारी सङ्कलन गर्नमा मात्र रोकिँदैन - यसले चोरी भएको डेटा अपरम्परागत च्यानलहरू मार्फत आक्रमणकारीहरूसम्म पुग्ने कुरा सुनिश्चित गर्दछ। बाहिर निकालिएका प्रमाणहरू र संवेदनशील विवरणहरू सिम्पल मेल ट्रान्सफर प्रोटोकल (SMTP) वा टेलिग्राम बटहरू मार्फत प्रसारित हुन्छन्। यी विधिहरू प्रयोग गरेर, मालवेयरले केही परम्परागत सुरक्षा उपायहरू बाइपास गर्दै आक्रमणकारी-नियन्त्रित सर्भरहरूमा चोरी भएको जानकारीको स्थिर प्रवाह कायम राख्छ।
AutoIt: एक चतुर चोरी प्रविधि
आक्रमणको यो पछिल्लो लहरलाई प्राथमिक पेलोड कार्यान्वयन गर्न AutoIt स्क्रिप्टिङ भाषाको प्रयोगले छुट्याउँछ। मालवेयर AutoIt-कम्पाइल गरिएको बाइनरी भित्र एम्बेड गरिएको छ, जसले गर्दा यसलाई परम्परागत पत्ता लगाउने संयन्त्रबाट बच्न अनुमति दिन्छ। यो दृष्टिकोणले स्थिर विश्लेषणलाई अझ चुनौतीपूर्ण मात्र बनाउँदैन तर वैध स्वचालन उपकरणहरूको नजिकबाट नक्कल गर्ने गतिशील व्यवहारलाई पनि सक्षम बनाउँछ, जसले यसको उपस्थितिलाई अझ ढाकछोप गर्दछ।
सम्झौता गरिएका प्रणालीहरूमा दृढता स्थापना गर्ने
एकपटक कार्यान्वयन भएपछि, स्नेक किलगरले संक्रमित प्रणालीमा सक्रिय रहन सुनिश्चित गर्दछ। यसले '%Local_AppData%\supergroup' डाइरेक्टरीमा 'ageless.exe' को रूपमा आफ्नो प्रतिलिपि छोड्छ। आफ्नो पकड बलियो बनाउन, यसले Windows Startup फोल्डरमा 'ageless.vbs' नामक भिजुअल बेसिक स्क्रिप्ट (VBS) फाइल पनि राख्छ। यसले सुनिश्चित गर्दछ कि प्रत्येक पटक प्रणाली रिबुट हुँदा, मालवेयर स्वचालित रूपमा पुन: सुरु हुन्छ, जसले गर्दा यसको प्रक्रियाहरू समाप्त भए पनि यसलाई निरन्तरता दिन अनुमति दिन्छ।
प्रक्रिया खोक्रो बनाउने: सादा दृश्यमा लुक्ने
आक्रमणको अन्तिम चरणमा प्राथमिक पेलोडलाई 'regsvcs.exe' जस्ता वैध .NET प्रक्रियामा इन्जेक्ट गर्नु समावेश छ, जसलाई प्रोसेस होलोइङ भनेर चिनिने प्रविधि प्रयोग गरिन्छ। त्यसो गरेर, स्नेक किलगरले विश्वसनीय प्रक्रियाको आडमा काम गर्न सक्षम हुन्छ, जसले गर्दा यसलाई पत्ता लगाउन धेरै चुनौतीपूर्ण हुन्छ।
किस्ट्रोक लगिङ र पीडितहरूलाई ट्र्याक गर्ने
प्रमाण चोरी बाहेक, स्नेक किलगरले किस्ट्रोकहरू लग गरेर प्रयोगकर्ता गतिविधिको पनि निगरानी गर्दछ। यसले WH_KEYBOARD_LL फ्ल्याग (फ्ल्याग १३) को साथ SetWindowsHookEx API लाई प्रयोग गर्दछ, जुन किस्ट्रोकहरू खिच्न डिजाइन गरिएको कम-स्तरको किबोर्ड हुक हो। यो विधिले यसलाई बैंकिङ विवरणहरू र पासवर्डहरू सहित संवेदनशील इनपुट रेकर्ड गर्न सक्षम बनाउँछ। थप रूपमा, मालवेयरले पीडितको IP ठेगाना र भौगोलिक स्थान निर्धारण गर्न checkip.dyndns.org जस्ता बाह्य सेवाहरू प्रयोग गर्दछ, जसले यसको डेटा सङ्कलन क्षमताहरूलाई अझ बढाउँछ।
निरन्तर र विकसित हुँदै गइरहेको खतरा
स्नेक किलगरको पुनरुत्थानले साइबर खतराहरूको विकसित प्रकृतिलाई जोड दिन्छ। अटोइट स्क्रिप्टिङ र प्रोसेस होलोइङ जस्ता नयाँ प्रविधिहरूको प्रयोग गरेर, यसले विशाल संख्यामा प्रणालीहरूसँग सम्झौता गर्दा पत्ता लगाउनबाट बच्न जारी राख्छ। यस निरन्तर खतरासँग सम्बन्धित जोखिमहरूलाई कम गर्न यसको विधिहरूको बारेमा जानकारी राख्नु र इमेलहरू ह्यान्डल गर्दा सावधानी अपनाउनु महत्त्वपूर्ण छ।
