Variant ng Snake Keylogger
Isang bagong variant ng Snake Keylogger ang aktibong nagta-target ng mga user ng Windows sa buong China, Turkey, Indonesia, Taiwan at Spain. Sinusubaybayan ng mga mananaliksik ang bagong bersyon na ito at iniugnay ito sa isang nakababahala na 280 milyong mga pagtatangka sa impeksyon sa buong mundo mula noong simula ng taon, na itinatampok ang malawakang epekto nito.
Talaan ng mga Nilalaman
Ang Phishing Trap: Paano Kumakalat ang Snake Keylogger
Ang pangunahing paraan ng paghahatid para sa Snake Keylogger ay nananatiling mga phishing na email na naka-embed na may mga nagbabantang attachment o link. Nagkakaroon ng access ang malware sa mga system ng mga hindi mapag-aalinlanganang user kapag nakipag-ugnayan sila sa mga mapanlinlang na email na ito. Nakatuon ito sa pag-aani ng sensitibong data mula sa malawakang ginagamit na mga Web browser gaya ng Chrome, Edge at Firefox. Nakakamit ito sa pamamagitan ng pagre-record ng mga keystroke, pagkuha ng mga kredensyal sa pag-log in at pagsubaybay sa aktibidad ng clipboard.
Pag-exfiltrate ng Data sa Pamamagitan ng Mga Hindi Karaniwang Channel
Ang Snake Keylogger ay hindi tumitigil sa pag-aani ng impormasyon—sinisiguro nito na ang ninakaw na data ay makakarating sa mga umaatake sa pamamagitan ng mga hindi kinaugalian na channel. Ang mga exfiltrated na kredensyal at sensitibong detalye ay ipinapadala sa pamamagitan ng Simple Mail Transfer Protocol (SMTP) o Telegram bots. Sa pamamagitan ng paggamit sa mga pamamaraang ito, ang malware ay nagpapanatili ng tuluy-tuloy na daloy ng ninakaw na impormasyon sa mga server na kinokontrol ng attacker, na nilalampasan ang ilang tradisyonal na mga hakbang sa seguridad.
AutoIt: Isang Matalinong Pamamaraan sa Pag-iwas
Ang nagpapahiwalay sa pinakabagong alon ng mga pag-atake na ito ay ang paggamit ng AutoIt scripting language upang isagawa ang pangunahing payload. Ang malware ay naka-embed sa loob ng AutoIt-compiled binary, na nagbibigay-daan dito na iwasan ang mga tradisyunal na mekanismo ng pagtuklas. Ang diskarte na ito ay hindi lamang ginagawang mas mahirap ang static na pagsusuri ngunit nagbibigay-daan din sa dynamic na pag-uugali na malapit na ginagaya ang mga lehitimong tool sa pag-automate, na higit pang tinatago ang presensya nito.
Pagtatatag ng Pagtitiyaga sa Mga Nakompromisong Sistema
Kapag naisakatuparan, tinitiyak ng Snake Keylogger na mananatiling aktibo ito sa nahawaang sistema. Nag-drop ito ng kopya ng sarili nito bilang 'ageless.exe' sa '%Local_AppData%\supergroup' na direktoryo. Upang palakasin ang foothold nito, naglalagay din ito ng Visual Basic Script (VBS) file na pinangalanang 'ageless.vbs' sa folder ng Windows Startup. Tinitiyak nito na sa tuwing magre-reboot ang system, awtomatikong muling ilulunsad ang malware, na nagpapahintulot dito na magpatuloy kahit na ang mga proseso nito ay winakasan.
Process Hollowing: Pagtatago sa Plain Sight
Ang huling yugto ng pag-atake ay kinabibilangan ng pag-inject ng pangunahing kargamento sa isang lehitimong proseso ng .NET, gaya ng 'regsvcs.exe,' gamit ang isang pamamaraan na kilala bilang process hollowing. Sa pamamagitan ng paggawa nito, ang Snake Keylogger ay makakapagpatakbo sa ilalim ng pagkukunwari ng isang pinagkakatiwalaang proseso, na ginagawa itong mas mahirap na matukoy.
Pag-log Keystroke at Pagsubaybay sa mga Biktima
Higit pa sa pagnanakaw ng kredensyal, sinusubaybayan din ng Snake Keylogger ang aktibidad ng user sa pamamagitan ng pag-log ng mga keystroke. Ginagamit nito ang SetWindowsHookEx API gamit ang WH_KEYBOARD_LL flag (flag 13), isang mababang antas ng keyboard hook na idinisenyo upang makuha ang mga keystroke. Binibigyang-daan ng paraang ito na makapagtala ng sensitibong input, kabilang ang mga detalye ng pagbabangko at mga password. Bukod pa rito, gumagamit ang malware ng mga panlabas na serbisyo tulad ng checkip.dyndns.org upang matukoy ang IP address at geolocation ng biktima, na higit na nagpapahusay sa mga kakayahan nito sa pagkolekta ng data.
Isang Patuloy at Umuunlad na Banta
Ang muling pagkabuhay ng Snake Keylogger ay binibigyang-diin ang umuusbong na katangian ng mga banta sa cyber. Sa pamamagitan ng paggamit ng mga bagong diskarte gaya ng AutoIt scripting at process hollowing, patuloy itong umiiwas sa pagtuklas habang kinokompromiso ang napakaraming system. Ang pananatiling may kaalaman tungkol sa mga pamamaraan nito at pag-iingat kapag humahawak ng mga email ay nananatiling mahalaga sa pagpapagaan ng mga panganib na nauugnay sa patuloy na pagbabanta na ito.
