Snake Keylogger Variant
Një variant i ri i Snake Keylogger po synon në mënyrë aktive përdoruesit e Windows në të gjithë Kinën, Turqinë, Indonezinë, Tajvanin dhe Spanjën. Studiuesit e kanë gjurmuar këtë version të ri dhe e kanë lidhur atë me 280 milionë përpjekje alarmante për infeksion në mbarë botën që nga fillimi i vitit, duke theksuar ndikimin e tij të përhapur.
Tabela e Përmbajtjes
Kurthi i phishing: Si përhapet Snake Keylogger
Metoda kryesore e dorëzimit për Snake Keylogger mbetet emailet e phishing të ngulitura me bashkëngjitje ose lidhje kërcënuese. Malware fiton akses në sistemet e përdoruesve që nuk dyshojnë pasi ata ndërveprojnë me këto emaile mashtruese. Ai fokusohet në grumbullimin e të dhënave të ndjeshme nga shfletuesit e internetit të përdorur gjerësisht si Chrome, Edge dhe Firefox. Ai e arrin këtë duke regjistruar goditjet e tasteve, duke kapur kredencialet e hyrjes dhe duke monitoruar aktivitetin e kujtesës së fragmenteve.
Eksfiltimi i të dhënave përmes kanaleve jokonvencionale
Snake Keylogger nuk ndalet në grumbullimin e informacionit - ai siguron që të dhënat e vjedhura të arrijnë te sulmuesit përmes kanaleve jokonvencionale. Kredencialet e ekfiltruara dhe detajet e ndjeshme transmetohen përmes Protokollit të Transferimit të Postës së Thjeshtë (SMTP) ose robotëve të Telegramit. Duke përdorur këto metoda, malware mban një rrjedhë të qëndrueshme të informacionit të vjedhur në serverët e kontrolluar nga sulmuesit, duke anashkaluar disa masa tradicionale të sigurisë.
AutoIt: Një teknikë e zgjuar evazioni
Ajo që e veçon këtë valë të fundit sulmesh është përdorimi i gjuhës së skriptimit AutoIt për të ekzekutuar ngarkesën kryesore. Malware është i ngulitur brenda një binar të përpiluar nga AutoIt, duke e lejuar atë të shmangë mekanizmat tradicionalë të zbulimit. Kjo qasje jo vetëm që e bën analizën statike më sfiduese, por gjithashtu mundëson sjellje dinamike që imiton nga afër mjetet legjitime të automatizimit, duke maskuar më tej praninë e saj.
Vendosja e qëndrueshmërisë në sistemet e komprometuara
Pasi të ekzekutohet, Snake Keylogger siguron që të mbetet aktiv në sistemin e infektuar. Ai lëshon një kopje të tij si 'ageless.exe' në direktorinë '%Local_AppData%\supergroup'. Për të forcuar bazën e tij, ai vendos gjithashtu një skedar Visual Basic Script (VBS) të quajtur 'ageless.vbs' në dosjen e fillimit të Windows. Kjo siguron që sa herë që sistemi rindizet, malware riniset automatikisht, duke e lejuar atë të vazhdojë edhe nëse proceset e tij përfundojnë.
Zbrazja e procesit: Fshehja në pamje të thjeshtë
Faza e fundit e sulmit përfshin injektimin e ngarkesës primare në një proces të ligjshëm .NET, të tillë si 'regsvcs.exe', duke përdorur një teknikë të njohur si zgavra e procesit. Duke vepruar kështu, Snake Keylogger është në gjendje të funksionojë nën maskën e një procesi të besuar, duke e bërë atë dukshëm më sfidues për t'u zbuluar.
Regjistrimi i goditjeve të tasteve dhe gjurmimi i viktimave
Përtej vjedhjes së kredencialeve, Snake Keylogger monitoron gjithashtu aktivitetin e përdoruesit duke regjistruar goditjet e tasteve. Ai përdor SetWindowsHookEx API me flamurin WH_KEYBOARD_LL (flamuri 13), një fiksim i nivelit të ulët të tastierës i krijuar për të kapur goditjet e tastieve. Kjo metodë i mundëson atij të regjistrojë të dhëna të ndjeshme, duke përfshirë detajet bankare dhe fjalëkalimet. Për më tepër, malware përdor shërbime të jashtme si checkip.dyndns.org për të përcaktuar adresën IP të viktimës dhe vendndodhjen gjeografike, duke rritur më tej aftësitë e tij për mbledhjen e të dhënave.
Një kërcënim i vazhdueshëm dhe në zhvillim
Ringjallja e Snake Keylogger nënvizon natyrën në zhvillim të kërcënimeve kibernetike. Duke përdorur teknika të reja si skriptimi AutoIt dhe zbrazja e procesit, ai vazhdon të shmangë zbulimin duke kompromentuar një numër të madh sistemesh. Qëndrimi i informuar për metodat e tij dhe tregimi i kujdesit gjatë trajtimit të emaileve mbeten thelbësore në zbutjen e rreziqeve që lidhen me këtë kërcënim të vazhdueshëm.
