Snake Keylogger Variant
Snake Keylogger เวอร์ชันใหม่กำลังโจมตีผู้ใช้ Windows ในประเทศจีน ตุรกี อินโดนีเซีย ไต้หวัน และสเปน นักวิจัยได้ติดตามเวอร์ชันใหม่นี้และเชื่อมโยงเวอร์ชันนี้กับความพยายามติดไวรัส 280 ล้านครั้งทั่วโลกตั้งแต่ต้นปี ซึ่งแสดงให้เห็นถึงผลกระทบในวงกว้างของเวอร์ชันนี้
สารบัญ
กับดักฟิชชิ่ง: คีย์ล็อกเกอร์งูแพร่กระจายได้อย่างไร
วิธีการส่งหลักของ Snake Keylogger ยังคงเป็นอีเมลฟิชชิ่งที่ฝังไว้กับไฟล์แนบหรือลิงก์ที่เป็นอันตราย มัลแวร์เข้าถึงระบบของผู้ใช้ที่ไม่สงสัยเมื่อพวกเขาโต้ตอบกับอีเมลหลอกลวงเหล่านี้ มัลแวร์มุ่งเน้นไปที่การรวบรวมข้อมูลที่ละเอียดอ่อนจากเว็บเบราว์เซอร์ที่ใช้กันอย่างแพร่หลาย เช่น Chrome, Edge และ Firefox โดยทำได้โดยบันทึกการกดแป้นพิมพ์ รวบรวมข้อมูลรับรองการเข้าสู่ระบบ และตรวจสอบกิจกรรมของคลิปบอร์ด
การดึงข้อมูลผ่านช่องทางที่ไม่ธรรมดา
Snake Keylogger ไม่หยุดอยู่แค่การรวบรวมข้อมูลเท่านั้น แต่ยังช่วยให้แน่ใจว่าข้อมูลที่ถูกขโมยไปจะไปถึงมือผู้โจมตีผ่านช่องทางที่ไม่ธรรมดา ข้อมูลประจำตัวและรายละเอียดที่ละเอียดอ่อนที่ขโมยมาจะถูกส่งผ่าน Simple Mail Transfer Protocol (SMTP) หรือบ็อท Telegram ด้วยการใช้กลวิธีเหล่านี้ มัลแวร์จะรักษาการไหลของข้อมูลที่ขโมยมาอย่างต่อเนื่องไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม โดยหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิมๆ
AutoIt: เทคนิคการหลบหลีกที่ชาญฉลาด
สิ่งที่ทำให้การโจมตีครั้งล่าสุดนี้แตกต่างคือการใช้ภาษาสคริปต์ AutoIt เพื่อเรียกใช้เพย์โหลดหลัก มัลแวร์ถูกฝังอยู่ในไบนารีที่คอมไพล์ด้วย AutoIt ทำให้หลบเลี่ยงกลไกการตรวจจับแบบเดิมได้ แนวทางนี้ไม่เพียงแต่ทำให้การวิเคราะห์แบบคงที่ท้าทายมากขึ้นเท่านั้น แต่ยังทำให้เกิดพฤติกรรมแบบไดนามิกที่เลียนแบบเครื่องมืออัตโนมัติที่ถูกต้องได้อย่างใกล้ชิด ทำให้ปิดบังการมีอยู่ของมัลแวร์ได้มากขึ้น
การสร้างความคงอยู่บนระบบที่ถูกบุกรุก
เมื่อดำเนินการแล้ว Snake Keylogger จะทำให้แน่ใจว่ายังคงทำงานอยู่บนระบบที่ติดเชื้อ โดยจะคัดลอกตัวเองเป็น 'ageless.exe' ในไดเร็กทอรี '%Local_AppData%\supergroup' เพื่อเสริมความแข็งแกร่งให้กับฐานราก มันยังวางไฟล์ Visual Basic Script (VBS) ชื่อ 'ageless.vbs' ไว้ในโฟลเดอร์เริ่มต้นระบบ Windows อีกด้วย วิธีนี้จะช่วยให้มั่นใจได้ว่าทุกครั้งที่ระบบรีบูต มัลแวร์จะเปิดการทำงานใหม่โดยอัตโนมัติ ทำให้มัลแวร์ยังคงทำงานต่อไปได้แม้ว่ากระบวนการต่างๆ จะสิ้นสุดลงแล้วก็ตาม
กระบวนการกลวง: ซ่อนอยู่ในที่ที่มองเห็นชัดเจน
ขั้นตอนสุดท้ายของการโจมตีเกี่ยวข้องกับการฉีดเนื้อหาหลักเข้าไปในกระบวนการ .NET ที่ถูกต้อง เช่น 'regsvcs.exe' โดยใช้เทคนิคที่เรียกว่าการกลวงกระบวนการ การทำเช่นนี้จะทำให้ Snake Keylogger สามารถทำงานภายใต้หน้ากากของกระบวนการที่เชื่อถือได้ ทำให้ตรวจจับได้ยากขึ้นอย่างมาก
การบันทึกการกดแป้นพิมพ์และการติดตามเหยื่อ
นอกเหนือจากการขโมยข้อมูลประจำตัวแล้ว Snake Keylogger ยังตรวจสอบกิจกรรมของผู้ใช้โดยบันทึกการกดแป้นพิมพ์ด้วย โดยใช้ประโยชน์จาก SetWindowsHookEx API ที่มีแฟล็ก WH_KEYBOARD_LL (แฟล็ก 13) ซึ่งเป็นคีย์บอร์ดฮุกระดับต่ำที่ออกแบบมาเพื่อดักจับการกดแป้นพิมพ์ วิธีนี้ช่วยให้สามารถบันทึกข้อมูลสำคัญ เช่น รายละเอียดทางการเงินและรหัสผ่าน นอกจากนี้ มัลแวร์ยังใช้บริการภายนอก เช่น checkip.dyndns.org เพื่อระบุที่อยู่ IP และตำแหน่งทางภูมิศาสตร์ของเหยื่อ ช่วยเพิ่มความสามารถในการรวบรวมข้อมูลให้ดียิ่งขึ้น
ภัยคุกคามที่คงอยู่และเปลี่ยนแปลงตลอดเวลา
การกลับมาของ Snake Keylogger เป็นการเน้นย้ำถึงธรรมชาติที่เปลี่ยนแปลงไปของภัยคุกคามทางไซเบอร์ การใช้เทคนิคใหม่ ๆ เช่น การเขียนสคริปต์ AutoIt และการแฮ็กกระบวนการ ทำให้สามารถหลบเลี่ยงการตรวจจับได้อย่างต่อเนื่องในขณะที่สร้างความเสียหายให้กับระบบจำนวนมาก การติดตามวิธีการต่าง ๆ ของ Snake Keylogger และการใช้ความระมัดระวังในการจัดการอีเมลยังคงมีความสำคัญในการลดความเสี่ยงที่เกี่ยวข้องกับภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องนี้
