Varianta Snake Keylogger
O variantă nouă a Snake Keylogger vizează în mod activ utilizatorii Windows din China, Turcia, Indonezia, Taiwan și Spania. Cercetătorii au urmărit această nouă versiune și au legat-o de 280 de milioane de încercări alarmante de infecție în întreaga lume de la începutul anului, subliniind impactul ei pe scară largă.
Cuprins
Capcana pentru phishing: cum se răspândește Keyloggerul Snake
Metoda principală de livrare pentru Snake Keylogger rămân e-mailurile de tip phishing încorporate cu atașamente sau link-uri amenințătoare. Malware-ul obține acces la sistemele utilizatorilor nebănuiți odată ce interacționează cu aceste e-mailuri înșelătoare. Se concentrează pe colectarea de date sensibile din browsere web utilizate pe scară largă, cum ar fi Chrome, Edge și Firefox. Realizează acest lucru prin înregistrarea apăsărilor de taste, captarea acreditărilor de conectare și monitorizarea activității clipboard-ului.
Exfiltrarea datelor prin canale neconvenționale
Snake Keylogger nu se oprește la colectarea informațiilor – se asigură că datele furate ajung la atacatori prin canale neconvenționale. Acreditările exfiltrate și detaliile sensibile sunt transmise prin protocolul SMTP (Simple Mail Transfer Protocol) sau telegramele. Prin utilizarea acestor metode, malware-ul menține un flux constant de informații furate către serverele controlate de atacatori, ocolind unele măsuri de securitate tradiționale.
AutoIt: O tehnică inteligentă de evaziune
Ceea ce diferențiază acest ultim val de atacuri este utilizarea limbajului de scripting AutoIt pentru a executa sarcina utilă principală. Malware-ul este încorporat într-un binar compilat cu AutoIt, permițându-i să evite mecanismele tradiționale de detectare. Această abordare nu numai că face analiza statică mai dificilă, dar permite și un comportament dinamic care imită îndeaproape instrumentele de automatizare legitime, mascându-i și mai mult prezența.
Stabilirea persistenței asupra sistemelor compromise
Odată executat, Snake Keylogger se asigură că rămâne activ pe sistemul infectat. Aruncă o copie a sa ca „ageless.exe” în directorul „%Local_AppData%\supergroup”. Pentru a-și consolida locul, plasează, de asemenea, un fișier Visual Basic Script (VBS) numit „ageless.vbs” în folderul de pornire Windows. Acest lucru asigură că de fiecare dată când sistemul repornește, malware-ul se relansează automat, permițându-i să persistă chiar dacă procesele sale sunt încheiate.
Golirea procesului: Ascundere la vedere
Etapa finală a atacului implică injectarea sarcinii utile primare într-un proces .NET legitim, cum ar fi „regsvcs.exe”, folosind o tehnică cunoscută sub numele de golire a procesului. Procedând astfel, Snake Keylogger este capabil să funcționeze sub masca unui proces de încredere, făcându-l mult mai dificil de detectat.
Înregistrarea apăsărilor de taste și urmărirea victimelor
Dincolo de furtul de acreditări, Snake Keylogger monitorizează și activitatea utilizatorului prin înregistrarea apăsărilor de taste. Acesta folosește API-ul SetWindowsHookEx cu steag WH_KEYBOARD_LL (steagul 13), un cârlig de tastatură de nivel scăzut conceput pentru a captura apăsările de taste. Această metodă îi permite să înregistreze intrări sensibile, inclusiv detalii bancare și parole. În plus, malware-ul folosește servicii externe precum checkip.dyndns.org pentru a determina adresa IP și localizarea geografică a victimei, îmbunătățind și mai mult capacitățile sale de colectare a datelor.
O amenințare persistentă și în evoluție
Revenirea Keylogger-ului Snake subliniază natura evolutivă a amenințărilor cibernetice. Folosind tehnici noi, cum ar fi scriptingul AutoIt și golirea proceselor, continuă să evite detectarea, compromițând în același timp un număr mare de sisteme. Rămâneți informat cu privire la metodele sale și acționați cu prudență în manipularea e-mailurilor rămân esențiale pentru atenuarea riscurilor asociate cu această amenințare persistentă.
