Snake Keylogger-variant
Een nieuwe variant van de Snake Keylogger richt zich actief op Windows-gebruikers in China, Turkije, Indonesië, Taiwan en Spanje. Onderzoekers hebben deze nieuwe versie gevolgd en gelinkt aan een alarmerende 280 miljoen infectiepogingen wereldwijd sinds het begin van het jaar, wat de wijdverbreide impact ervan benadrukt.
Inhoudsopgave
De phishingval: hoe de snake keylogger zich verspreidt
De primaire bezorgmethode voor de Snake Keylogger blijft phishing-e-mails met dreigende bijlagen of links. De malware krijgt toegang tot de systemen van nietsvermoedende gebruikers zodra ze met deze misleidende e-mails interacteren. Het richt zich op het verzamelen van gevoelige gegevens van veelgebruikte webbrowsers zoals Chrome, Edge en Firefox. Het bereikt dit door toetsaanslagen te registreren, inloggegevens vast te leggen en de activiteit van het klembord te monitoren.
Exfiltratie van gegevens via onconventionele kanalen
De Snake Keylogger stopt niet bij het verzamelen van informatie, maar zorgt ervoor dat de gestolen gegevens de aanvallers bereiken via onconventionele kanalen. De geëxfiltreerde inloggegevens en gevoelige details worden verzonden via het Simple Mail Transfer Protocol (SMTP) of Telegram-bots. Door deze methoden te gebruiken, onderhoudt de malware een gestage stroom van gestolen informatie naar door de aanvaller gecontroleerde servers, waarbij sommige traditionele beveiligingsmaatregelen worden omzeild.
AutoIt: een slimme ontwijkingstechniek
Wat deze laatste aanvalsgolf onderscheidt, is het gebruik van de AutoIt-scripttaal om de primaire payload uit te voeren. De malware is ingebed in een AutoIt-gecompileerd binair bestand, waardoor het traditionele detectiemechanismen kan omzeilen. Deze aanpak maakt statische analyse niet alleen uitdagender, maar maakt ook dynamisch gedrag mogelijk dat legitieme automatiseringstools nauwgezet nabootst, waardoor de aanwezigheid ervan verder wordt gemaskeerd.
Persistentie creëren op gecompromitteerde systemen
Zodra het is uitgevoerd, zorgt de Snake Keylogger ervoor dat het actief blijft op het geïnfecteerde systeem. Het plaatst een kopie van zichzelf als 'ageless.exe' in de map '%Local_AppData%\supergroup'. Om zijn positie te versterken, plaatst het ook een Visual Basic Script (VBS)-bestand met de naam 'ageless.vbs' in de Windows Startup-map. Dit zorgt ervoor dat elke keer dat het systeem opnieuw wordt opgestart, de malware automatisch opnieuw wordt gestart, waardoor het kan blijven bestaan, zelfs als de processen worden beëindigd.
Procesuitholling: verstoppen in het zicht
De laatste fase van de aanval omvat het injecteren van de primaire payload in een legitiem .NET-proces, zoals 'regsvcs.exe', met behulp van een techniek die bekendstaat als process hollowing. Door dit te doen, kan de Snake Keylogger opereren onder de dekmantel van een vertrouwd proces, waardoor het aanzienlijk moeilijker wordt om te detecteren.
Registratie van toetsaanslagen en het volgen van slachtoffers
Naast diefstal van inloggegevens, monitort de Snake Keylogger ook gebruikersactiviteit door toetsaanslagen te registreren. Het maakt gebruik van de SetWindowsHookEx API met de WH_KEYBOARD_LL-vlag (vlag 13), een low-level toetsenbordhook die is ontworpen om toetsaanslagen vast te leggen. Deze methode stelt het in staat om gevoelige invoer vast te leggen, waaronder bankgegevens en wachtwoorden. Bovendien gebruikt de malware externe services zoals checkip.dyndns.org om het IP-adres en de geolocatie van het slachtoffer te bepalen, wat de mogelijkheden voor gegevensverzameling verder vergroot.
Een aanhoudende en evoluerende bedreiging
De heropleving van de Snake Keylogger onderstreept de evoluerende aard van cyberdreigingen. Door gebruik te maken van nieuwe technieken zoals AutoIt-scripting en process hollowing, blijft het detectie ontwijken terwijl het een groot aantal systemen in gevaar brengt. Op de hoogte blijven van de methoden en voorzichtigheid betrachten bij het verwerken van e-mails blijft cruciaal om de risico's die gepaard gaan met deze aanhoudende dreiging te beperken.
