Snake Keylogger Variant
Uma nova variante do Snake Keylogger está mirando ativamente os usuários do Windows na China, Turquia, Indonésia, Taiwan e Espanha. Pesquisadores rastrearam essa nova versão e a vincularam a alarmantes 280 milhões de tentativas de infecção em todo o mundo desde o início do ano, destacando seu impacto generalizado.
Índice
A Armadilha do Phishing: Como o Snake Keylogger Se Espalha
O principal método de entrega do Snake Keylogger continua sendo e-mails de phishing incorporados com anexos ou links ameaçadores. O malware obtém acesso aos sistemas de usuários desavisados quando eles interagem com esses e-mails enganosos. Ele se concentra na coleta de dados confidenciais de navegadores da Web amplamente usados, como Chrome, Edge e Firefox. Ele consegue isso gravando pressionamentos de tecla, capturando credenciais de login e monitorando a atividade da área de transferência.
Exfiltração de Dados por Meio de Canais não Convencionais
O Snake Keylogger não para na coleta de informações — ele garante que os dados roubados cheguem aos invasores por meio de canais não convencionais. As credenciais exfiltradas e os detalhes confidenciais são transmitidos por meio do Simple Mail Transfer Protocol (SMTP) ou bots do Telegram. Ao utilizar esses métodos, o malware mantém um fluxo constante de informações roubadas para servidores controlados pelo invasor, ignorando algumas medidas de segurança tradicionais.
AutoIt: Uma Técnica de Evasão Inteligente
O que diferencia essa última onda de ataques é o uso da linguagem de script AutoIt para executar a carga primária. O malware é incorporado em um binário compilado pelo AutoIt, permitindo que ele evite mecanismos de detecção tradicionais. Essa abordagem não apenas torna a análise estática mais desafiadora, mas também permite um comportamento dinâmico que imita de perto ferramentas de automação legítimas, mascarando ainda mais sua presença.
Estabelecendo Persistência nos Sistemas Comprometidos
Uma vez executado, o Snake Keylogger garante que ele permaneça ativo no sistema infectado. Ele deixa uma cópia de si mesmo como 'ageless.exe' no diretório '%Local_AppData%\supergroup'. Para fortalecer sua posição, ele também coloca um arquivo Visual Basic Script (VBS) chamado 'ageless.vbs' na pasta Windows Startup. Isso garante que toda vez que o sistema reinicializar, o malware reinicie automaticamente, permitindo que ele persista mesmo se seus processos forem encerrados.
O Processo de Esvaziamento: Escondendo-se à Vista de Todos
O estágio final do ataque envolve injetar a carga primária em um processo .NET legítimo, como 'regsvcs.exe', usando uma técnica conhecida como process hollowing. Ao fazer isso, o Snake Keylogger é capaz de operar sob o disfarce de um processo confiável, tornando-o significativamente mais desafiador de detectar.
Registrando os Pressionamentos de Tecla e Rastreando Vítimas
Além do roubo de credenciais, o Snake Keylogger também monitora a atividade do usuário registrando as teclas digitadas. Ele aproveita a API SetWindowsHookEx com o sinalizador WH_KEYBOARD_LL (sinalizador 13), um gancho de teclado de baixo nível projetado para capturar as teclas digitadas. Este método permite que ele registre entradas confidenciais, incluindo detalhes bancários e senhas. Além disso, o malware usa serviços externos como checkip.dyndns.org para determinar o endereço IP e a geolocalização da vítima, aprimorando ainda mais suas capacidades de coleta de dados.
Uma Ameaça Persistente e em Evolução
O ressurgimento do Snake Keylogger ressalta a natureza evolutiva das ameaças cibernéticas. Ao alavancar novas técnicas, como scripts AutoIt e process hollowing, ele continua a escapar da detecção, ao mesmo tempo em que compromete um grande número de sistemas. Manter-se informado sobre seus métodos e ter cautela ao lidar com e-mails continua sendo crucial para mitigar os riscos associados a essa ameaça persistente.
