Različica Snake Keyloggerja
Nova različica Snake Keyloggerja aktivno cilja na uporabnike sistema Windows na Kitajskem, v Turčiji, Indoneziji, Tajvanu in Španiji. Raziskovalci so sledili tej novi različici in jo povezali z zaskrbljujočimi 280 milijoni poskusov okužbe po vsem svetu od začetka leta, kar poudarja njen širok vpliv.
Kazalo
Past lažnega predstavljanja: Kako se širi Snake Keylogger
Primarni način dostave za Snake Keylogger ostajajo e-poštna sporočila z lažnim predstavljanjem, vdelana z grozečimi prilogami ali povezavami. Zlonamerna programska oprema pridobi dostop do sistemov nič hudega slutečih uporabnikov, ko ti komunicirajo s temi zavajajočimi e-poštnimi sporočili. Osredotoča se na zbiranje občutljivih podatkov iz široko uporabljanih spletnih brskalnikov, kot so Chrome, Edge in Firefox. To doseže s snemanjem pritiskov tipk, zajemanjem poverilnic za prijavo in spremljanjem dejavnosti odložišča.
Eksfiltracija podatkov prek nekonvencionalnih kanalov
Snake Keylogger se ne ustavi pri zbiranju informacij – zagotovi, da ukradeni podatki dosežejo napadalce prek nekonvencionalnih kanalov. Eksfiltrirane poverilnice in občutljivi podatki se prenašajo prek protokola Simple Mail Transfer Protocol (SMTP) ali robotov Telegram. Z uporabo teh metod zlonamerna programska oprema vzdržuje stalen pretok ukradenih informacij do strežnikov, ki jih nadzorujejo napadalci, pri čemer obide nekatere tradicionalne varnostne ukrepe.
AutoIt: Pametna tehnika izogibanja
Kar ločuje ta najnovejši val napadov, je uporaba skriptnega jezika AutoIt za izvajanje primarnega koristnega tovora. Zlonamerna programska oprema je vdelana v binarno datoteko, ki jo je prevedel AutoIt, kar ji omogoča, da se izogne tradicionalnim mehanizmom zaznavanja. Zaradi tega pristopa je statična analiza še bolj zahtevna, temveč omogoča tudi dinamično vedenje, ki natančno posnema legitimna orodja za avtomatizacijo, s čimer dodatno prikrije svojo prisotnost.
Vzpostavitev obstojnosti na ogroženih sistemih
Ko se zažene, Snake Keylogger zagotovi, da ostane aktiven v okuženem sistemu. Svojo kopijo spusti kot »ageless.exe« v imenik »%Local_AppData%\supergroup«. Da bi okrepil svojo oporo, prav tako postavi datoteko Visual Basic Script (VBS) z imenom 'ageless.vbs' v mapo Windows Startup. To zagotavlja, da se ob vsakem ponovnem zagonu sistema zlonamerna programska oprema samodejno znova zažene, kar ji omogoča, da vztraja, tudi če se njeni procesi prekinejo.
Proces Hollowing: Skrivanje na očeh
Zadnja stopnja napada vključuje vbrizgavanje primarnega koristnega tovora v zakonit proces .NET, kot je »regsvcs.exe«, z uporabo tehnike, znane kot izvlečenje procesa. S tem lahko Snake Keylogger deluje pod krinko zaupanja vrednega procesa, zaradi česar ga je veliko težje odkriti.
Beleženje pritiskov tipk in sledenje žrtvam
Poleg kraje poverilnic Snake Keylogger spremlja tudi dejavnost uporabnikov z beleženjem pritiskov tipk. Izkorišča API SetWindowsHookEx z zastavico WH_KEYBOARD_LL (zastavica 13), ki je nizkonivojski kavelj tipkovnice, zasnovan za zajemanje pritiskov tipk. Ta metoda omogoča beleženje občutljivih vnosov, vključno z bančnimi podatki in gesli. Poleg tega zlonamerna programska oprema uporablja zunanje storitve, kot je checkip.dyndns.org, za določitev IP-naslova in geolokacije žrtve, s čimer dodatno izboljša svoje zmogljivosti zbiranja podatkov.
Vztrajna in razvijajoča se grožnja
Ponovna oživitev Snake Keyloggerja poudarja razvijajočo se naravo kibernetskih groženj. Z uporabo novih tehnik, kot sta skriptiranje AutoIt in praznjenje procesov, se še naprej izogiba odkrivanju, hkrati pa ogroža veliko število sistemov. Biti obveščen o njegovih metodah in previdnost pri ravnanju z e-pošto ostajata ključnega pomena za zmanjšanje tveganj, povezanih s to vztrajno grožnjo.
