Wariant Keyloggera Snake'a
Nowa odmiana Snake Keylogger aktywnie atakuje użytkowników Windows w Chinach, Turcji, Indonezji, Tajwanie i Hiszpanii. Naukowcy śledzili tę nową wersję i powiązali ją z alarmującymi 280 milionami prób infekcji na całym świecie od początku roku, podkreślając jej szeroki wpływ.
Spis treści
Pułapka phishingu: jak rozprzestrzenia się program Snake Keylogger
Podstawową metodą dostarczania Snake Keyloggera pozostają e-maile phishingowe z osadzonymi groźnymi załącznikami lub linkami. Złośliwe oprogramowanie uzyskuje dostęp do systemów niczego niepodejrzewających użytkowników po interakcji z tymi oszukańczymi e-mailami. Skupia się na zbieraniu poufnych danych z powszechnie używanych przeglądarek internetowych, takich jak Chrome, Edge i Firefox. Osiąga to poprzez rejestrowanie naciśnięć klawiszy, przechwytywanie danych logowania i monitorowanie aktywności schowka.
Wyciekanie danych przez niekonwencjonalne kanały
Snake Keylogger nie zatrzymuje się na zbieraniu informacji — zapewnia, że skradzione dane dotrą do atakujących za pośrednictwem niekonwencjonalnych kanałów. Wykradzione dane uwierzytelniające i poufne dane są przesyłane za pośrednictwem Simple Mail Transfer Protocol (SMTP) lub botów Telegram. Wykorzystując te metody, złośliwe oprogramowanie utrzymuje stały przepływ skradzionych informacji do serwerów kontrolowanych przez atakujących, omijając niektóre tradycyjne środki bezpieczeństwa.
AutoIt: sprytna technika unikania
To, co wyróżnia tę ostatnią falę ataków, to użycie języka skryptowego AutoIt do wykonania głównego ładunku. Złośliwe oprogramowanie jest osadzone w skompilowanym pliku binarnym AutoIt, co pozwala mu ominąć tradycyjne mechanizmy wykrywania. Takie podejście nie tylko utrudnia analizę statyczną, ale także umożliwia dynamiczne zachowanie, które ściśle naśladuje legalne narzędzia automatyzacji, dodatkowo maskując jego obecność.
Ustanawianie trwałości w zagrożonych systemach
Po uruchomieniu Snake Keylogger zapewnia, że pozostanie aktywny w zainfekowanym systemie. Upuszcza kopię samego siebie jako „ageless.exe” w katalogu „%Local_AppData%\supergroup”. Aby wzmocnić swoją pozycję, umieszcza również plik Visual Basic Script (VBS) o nazwie „ageless.vbs” w folderze Startup systemu Windows. Zapewnia to, że przy każdym ponownym uruchomieniu systemu złośliwe oprogramowanie automatycznie się uruchomi, co pozwala mu przetrwać nawet po zakończeniu procesów.
Proces Hollowing: Ukrywanie się na widoku
Ostatni etap ataku polega na wstrzyknięciu podstawowego ładunku do legalnego procesu .NET, takiego jak „regsvcs.exe”, przy użyciu techniki znanej jako „process hollowing”. Dzięki temu Snake Keylogger może działać pod przykrywką zaufanego procesu, co znacznie utrudnia jego wykrycie.
Rejestrowanie naciśnięć klawiszy i śledzenie ofiar
Oprócz kradzieży danych uwierzytelniających, Snake Keylogger monitoruje również aktywność użytkownika, rejestrując naciśnięcia klawiszy. Wykorzystuje API SetWindowsHookEx z flagą WH_KEYBOARD_LL (flaga 13), niskopoziomowy hak klawiatury zaprojektowany do przechwytywania naciśnięć klawiszy. Ta metoda umożliwia rejestrowanie poufnych danych wejściowych, w tym danych bankowych i haseł. Ponadto złośliwe oprogramowanie wykorzystuje zewnętrzne usługi, takie jak checkip.dyndns.org, aby określić adres IP ofiary i geolokalizację, co dodatkowo zwiększa jego możliwości gromadzenia danych.
Trwałe i ewoluujące zagrożenie
Odrodzenie się Snake Keylogger podkreśla ewolucyjną naturę cyberzagrożeń. Wykorzystując nowe techniki, takie jak skrypty AutoIt i wydrążanie procesów, nadal unika wykrycia, jednocześnie narażając na szwank ogromną liczbę systemów. Pozostawanie poinformowanym o jego metodach i zachowanie ostrożności podczas obsługi wiadomości e-mail pozostają kluczowe w łagodzeniu ryzyka związanego z tym uporczywym zagrożeniem.
