Snake Keylogger Variant
Нова варијанта Снаке Кеилоггер-а активно циља на кориснике Виндовс-а широм Кине, Турске, Индонезије, Тајвана и Шпаније. Истраживачи су пратили ову нову верзију и повезали је са алармантних 280 милиона покушаја заразе широм света од почетка године, наглашавајући њен распрострањен утицај.
Преглед садржаја
Замка за пхисхинг: како се змија Кеилоггер шири
Примарни начин испоруке за Снаке Кеилоггер остаје пхисхинг е-порука са уграђеним претећим прилозима или везама. Малвер добија приступ системима корисника који ништа не сумњају када ступе у интеракцију са овим обмањујућим имејловима. Фокусира се на прикупљање осетљивих података из широко коришћених веб прегледача као што су Цхроме, Едге и Фирефок. То постиже снимањем притисака на тастере, хватањем акредитива за пријаву и праћењем активности међуспремника.
Ексфилтрација података кроз неконвенционалне канале
Снаке Кеилоггер се не зауставља на прикупљању информација – он осигурава да украдени подаци стигну до нападача неконвенционалним каналима. Ексфилтрирани акредитиви и осетљиви детаљи се преносе преко Симпле Маил Трансфер Протоцол (СМТП) или Телеграм ботова. Користећи ове методе, малвер одржава сталан проток украдених информација ка серверима које контролише нападач, заобилазећи неке традиционалне мере безбедности.
АутоИт: паметна техника избегавања
Оно што издваја овај најновији талас напада је употреба скриптног језика АутоИт за извршавање примарног корисног оптерећења. Злонамерни софтвер је уграђен у бинарну датотеку коју је компајлирао АутоИт, што му омогућава да избегне традиционалне механизме детекције. Овај приступ не само да чини статичку анализу изазовнијом, већ и омогућава динамичко понашање које блиско имитира легитимне алате за аутоматизацију, додатно маскирајући његово присуство.
Успостављање постојаности на компромитованим системима
Када се изврши, Снаке Кеилоггер осигурава да остане активан на зараженом систему. Испушта копију себе као 'агелесс.еке' у директоријум '%Лоцал_АппДата%\супергроуп'. Да би ојачао своје упориште, такође поставља датотеку Висуал Басиц Сцрипт (ВБС) под називом 'агелесс.вбс' у Виндовс директоријум за покретање. Ово осигурава да се сваки пут када се систем поново покрене, малвер аутоматски поново покреће, омогућавајући му да опстане чак и ако су његови процеси прекинути.
Процес удубљења: скривање на видику
Последња фаза напада укључује убацивање примарног корисног оптерећења у легитимни .НЕТ процес, као што је 'регсвцс.еке', користећи технику познату као процес шупље. На тај начин, Снаке Кеилоггер може да ради под маском процеса од поверења, што га чини знатно изазовнијим за откривање.
Евидентирање притисака на тастере и праћење жртава
Поред крађе акредитива, Снаке Кеилоггер такође прати активности корисника евидентирањем притисака на тастере. Користи СетВиндовсХоокЕк АПИ са ВХ_КЕИБОАРД_ЛЛ заставицом (заставица 13), закачицом за тастатуру ниског нивоа дизајнираном да ухвати притисак на тастере. Овај метод му омогућава да сними осетљиве податке, укључујући банковне податке и лозинке. Поред тога, злонамерни софтвер користи спољне услуге као што је цхецкип.динднс.орг да би одредио ИП адресу и геолокацију жртве, додатно побољшавајући њене могућности прикупљања података.
Упорна претња која се развија
Поновно појављивање Снаке Кеилоггер-а наглашава еволуирајућу природу сајбер претњи. Користећи нове технике као што су АутоИт скриптовање и шупље процесе, он наставља да избегава откривање док компромитује огроман број система. Информисање о његовим методама и опрез при руковању имејлом и даље су кључни за ублажавање ризика повезаних са овом трајном претњом.
