Snake Keylogger Variant
Nový variant Snake Keylogger sa aktívne zameriava na používateľov Windows v Číne, Turecku, Indonézii, Taiwane a Španielsku. Vedci sledovali túto novú verziu a od začiatku roka ju spojili s alarmujúcimi 280 miliónmi pokusov o infekciu na celom svete, čím zdôraznili jej rozsiahly dosah.
Obsah
Phishing Trap: Ako sa Snake Keylogger šíri
Primárnym spôsobom doručenia pre Snake Keylogger zostávajú phishingové e-maily s hroziacimi prílohami alebo odkazmi. Malvér získa prístup k systémom nič netušiacich používateľov, keď interagujú s týmito podvodnými e-mailmi. Zameriava sa na zber citlivých údajov z široko používaných webových prehliadačov, ako sú Chrome, Edge a Firefox. Dosahuje to zaznamenávaním stlačení klávesov, zaznamenávaním prihlasovacích údajov a monitorovaním aktivity schránky.
Exfiltrácia údajov prostredníctvom nekonvenčných kanálov
Snake Keylogger nekončí pri zbere informácií – zaisťuje, že ukradnuté údaje sa dostanú k útočníkom prostredníctvom nekonvenčných kanálov. Exfiltrované prihlasovacie údaje a citlivé podrobnosti sa prenášajú prostredníctvom robotov Simple Mail Transfer Protocol (SMTP) alebo telegramov. Využitím týchto metód malvér udržiava stály tok ukradnutých informácií na servery kontrolované útočníkmi, čím obchádza niektoré tradičné bezpečnostné opatrenia.
AutoIt: šikovná technika úniku
To, čo odlišuje túto poslednú vlnu útokov, je použitie skriptovacieho jazyka AutoIt na spustenie primárneho užitočného zaťaženia. Malvér je vložený do binárneho súboru skompilovaného AutoIt, čo mu umožňuje vyhnúť sa tradičným detekčným mechanizmom. Tento prístup nielenže robí statickú analýzu náročnejšou, ale umožňuje aj dynamické správanie, ktoré verne napodobňuje legitímne automatizačné nástroje, čím ďalej maskuje jeho prítomnosť.
Stanovenie perzistencie na kompromitovaných systémoch
Po spustení Snake Keylogger zaistí, že zostane aktívny na infikovanom systéme. Vypustí svoju kópiu ako 'ageless.exe' do adresára '%Local_AppData%\supergroup'. Na posilnenie svojej pozície tiež umiestni súbor Visual Basic Script (VBS) s názvom „ageless.vbs“ do priečinka Po spustení systému Windows. To zaisťuje, že pri každom reštarte systému sa malvér automaticky znova spustí, čo mu umožní pretrvať, aj keď sú jeho procesy ukončené.
Procesné vyhĺbenie: Skrytie na prvý pohľad
Konečná fáza útoku zahŕňa vloženie primárnej užitočnej záťaže do legitímneho procesu .NET, ako je napríklad „regsvcs.exe“, pomocou techniky známej ako proces vyhĺbenia. Vďaka tomu je Snake Keylogger schopný fungovať pod rúškom dôveryhodného procesu, vďaka čomu je jeho detekcia podstatne náročnejšia.
Zaznamenávanie stlačených klávesov a sledovanie obetí
Okrem krádeže poverení, Snake Keylogger tiež monitoruje aktivitu používateľa zaznamenávaním stlačenia klávesov. Využíva rozhranie SetWindowsHookEx API s príznakom WH_KEYBOARD_LL (príznak 13), nízkoúrovňovým hákom klávesnice určeným na zachytenie stlačenia klávesov. Táto metóda umožňuje zaznamenávať citlivé vstupy vrátane bankových údajov a hesiel. Malvér navyše používa externé služby, ako je checkip.dyndns.org, na určenie IP adresy a geolokácie obete, čím ďalej zlepšuje možnosti zhromažďovania údajov.
Trvalá a vyvíjajúca sa hrozba
Oživenie Snake Keylogger podčiarkuje vyvíjajúci sa charakter kybernetických hrozieb. Využitím nových techník, ako je skriptovanie AutoIt a proces hollowing, sa naďalej vyhýba detekcii a zároveň kompromituje obrovské množstvo systémov. Pri znižovaní rizík spojených s touto pretrvávajúcou hrozbou je stále dôležité byť informovaný o jej metódach a byť opatrný pri vybavovaní e-mailov.
