Snake Keylogger-variant
En ny variant av Snake Keylogger riktar sig aktivt mot Windows-användare i Kina, Turkiet, Indonesien, Taiwan och Spanien. Forskare har spårat den här nya versionen och kopplat den till alarmerande 280 miljoner infektionsförsök världen över sedan början av året, vilket belyser dess utbredda inverkan.
Innehållsförteckning
Nätfiskefällan: Hur Snake Keylogger sprids
Den primära leveransmetoden för Snake Keylogger förblir nätfiske-e-postmeddelanden inbäddade med hotfulla bilagor eller länkar. Skadlig programvara får tillgång till intet ont anande användares system när de interagerar med dessa vilseledande e-postmeddelanden. Den fokuserar på att samla in känslig data från ofta använda webbläsare som Chrome, Edge och Firefox. Den uppnår detta genom att spela in tangenttryckningar, fånga inloggningsuppgifter och övervaka urklippsaktivitet.
Exfiltrera data genom okonventionella kanaler
Snake Keylogger stannar inte vid att samla in information – den säkerställer att stulna data når angriparna via okonventionella kanaler. De exfiltrerade referenserna och känsliga detaljerna överförs via Simple Mail Transfer Protocol (SMTP) eller Telegram-bots. Genom att använda dessa metoder upprätthåller den skadliga programvaran ett stadigt flöde av stulen information till angriparkontrollerade servrar, och kringgår vissa traditionella säkerhetsåtgärder.
AutoIt: En smart undvikandeteknik
Det som skiljer denna senaste våg av attacker åt är användningen av skriptspråket AutoIt för att exekvera den primära nyttolasten. Skadlig programvara är inbäddad i en AutoIt-kompilerad binär, vilket gör att den kan undvika traditionella upptäcktsmekanismer. Detta tillvägagångssätt gör inte bara statisk analys mer utmanande utan möjliggör också dynamiskt beteende som nära efterliknar legitima automationsverktyg, vilket ytterligare maskerar dess närvaro.
Etablera uthållighet på komprometterade system
När Snake Keylogger väl har körts säkerställer den att den förblir aktiv på det infekterade systemet. Den släpper en kopia av sig själv som 'ageless.exe' i katalogen '%Local_AppData%\supergroup'. För att stärka fotfästet placerar den också en Visual Basic Script-fil (VBS) med namnet 'ageless.vbs' i Windows Startup-mapp. Detta säkerställer att den skadliga programvaran automatiskt startas om varje gång systemet startas om, vilket gör att den kan fortsätta även om dess processer avslutas.
Process urholkning: gömmer sig i sikte
Det sista steget av attacken involverar att injicera den primära nyttolasten i en legitim .NET-process, till exempel 'regsvcs.exe', med en teknik som kallas process hollowing. Genom att göra det kan Snake Keylogger arbeta under sken av en pålitlig process, vilket gör det betydligt svårare att upptäcka.
Logga tangenttryckningar och spåra offer
Utöver identitetsstöld övervakar Snake Keylogger också användaraktivitet genom att logga tangenttryckningar. Den utnyttjar SetWindowsHookEx API med WH_KEYBOARD_LL-flaggan (flagga 13), en tangentbordskrok på låg nivå utformad för att fånga tangenttryckningar. Den här metoden gör det möjligt att registrera känsliga uppgifter, inklusive bankuppgifter och lösenord. Dessutom använder den skadliga programvaran externa tjänster som checkip.dyndns.org för att fastställa offrets IP-adress och geolokalisering, vilket ytterligare förbättrar dess datainsamlingsmöjligheter.
Ett ihållande och utvecklande hot
Återuppkomsten av Snake Keylogger understryker cyberhotens föränderliga natur. Genom att utnyttja nya tekniker som AutoIt-skript och processurholkning, fortsätter den att undvika upptäckt samtidigt som den äventyrar ett stort antal system. Att hålla sig informerad om dess metoder och vara försiktig när du hanterar e-postmeddelanden är fortfarande avgörande för att minska riskerna förknippade med detta ihållande hot.
