Snake Keylogger Variant
Новая версия Snake Keylogger активно атакует пользователей Windows в Китае, Турции, Индонезии, Тайване и Испании. Исследователи отследили эту новую версию и связали ее с тревожными 280 миллионами попыток заражения по всему миру с начала года, что подчеркивает ее широкое воздействие.
Оглавление
Фишинговая ловушка: как распространяется кейлоггер Snake
Основным методом доставки Snake Keylogger остаются фишинговые письма, содержащие угрожающие вложения или ссылки. Вредоносная программа получает доступ к системам ничего не подозревающих пользователей, как только они взаимодействуют с этими обманчивыми письмами. Она фокусируется на сборе конфиденциальных данных из широко используемых веб-браузеров, таких как Chrome, Edge и Firefox. Она достигает этого, записывая нажатия клавиш, захватывая учетные данные для входа и отслеживая активность буфера обмена.
Извлечение данных через нетрадиционные каналы
Snake Keylogger не останавливается на сборе информации — он обеспечивает попадание украденных данных к злоумышленникам через нетрадиционные каналы. Извлеченные учетные данные и конфиденциальные данные передаются через Simple Mail Transfer Protocol (SMTP) или ботов Telegram. Используя эти методы, вредоносная программа поддерживает постоянный поток украденной информации на контролируемые злоумышленниками серверы, обходя некоторые традиционные меры безопасности.
AutoIt: хитрая техника уклонения
Что отличает эту последнюю волну атак, так это использование языка сценариев AutoIt для выполнения основной полезной нагрузки. Вредоносное ПО встроено в скомпилированный AutoIt двоичный файл, что позволяет ему обходить традиционные механизмы обнаружения. Такой подход не только усложняет статический анализ, но и допускает динамическое поведение, которое точно имитирует законные инструменты автоматизации, еще больше маскируя его присутствие.
Обеспечение устойчивости на скомпрометированных системах
После запуска Snake Keylogger гарантирует, что он останется активным в зараженной системе. Он помещает свою копию как 'ageless.exe' в каталог '%Local_AppData%\supergroup'. Чтобы укрепить свои позиции, он также помещает файл Visual Basic Script (VBS) с именем 'ageless.vbs' в папку автозагрузки Windows. Это гарантирует, что при каждой перезагрузке системы вредоносная программа будет автоматически перезапускаться, что позволяет ей сохраняться даже после завершения ее процессов.
Процесс опустошения: сокрытие на виду
Заключительный этап атаки включает в себя внедрение основной полезной нагрузки в легитимный процесс .NET, например, 'regsvcs.exe,' с использованием техники, известной как 'process hollowing'. Делая это, Snake Keylogger может работать под видом доверенного процесса, что значительно усложняет его обнаружение.
Регистрация нажатий клавиш и отслеживание жертв
Помимо кражи учетных данных, Snake Keylogger также отслеживает активность пользователя, регистрируя нажатия клавиш. Он использует API SetWindowsHookEx с флагом WH_KEYBOARD_LL (флаг 13), низкоуровневый хук клавиатуры, предназначенный для захвата нажатий клавиш. Этот метод позволяет ему записывать конфиденциальный ввод, включая банковские данные и пароли. Кроме того, вредоносная программа использует внешние сервисы, такие как checkip.dyndns.org, для определения IP-адреса и геолокации жертвы, что еще больше расширяет его возможности по сбору данных.
Постоянная и развивающаяся угроза
Возрождение Snake Keylogger подчеркивает эволюционирующий характер киберугроз. Используя новые методы, такие как скрипты AutoIt и маскировка процессов, он продолжает избегать обнаружения, одновременно подвергая риску огромное количество систем. Осведомленность о его методах и осторожность при работе с электронными письмами остаются решающими факторами для снижения рисков, связанных с этой постоянной угрозой.
