Snake Keylogger Variant
Snake Keylogger'ın yeni bir çeşidi Çin, Türkiye, Endonezya, Tayvan ve İspanya'daki Windows kullanıcılarını aktif olarak hedef alıyor. Araştırmacılar bu yeni sürümü takip ettiler ve bunu yıl başından bu yana dünya çapında endişe verici 280 milyon enfeksiyon girişimiyle ilişkilendirdiler ve yaygın etkisini vurguladılar.
İçindekiler
Phishing Tuzağı: Snake Keylogger Nasıl Yayılır
Snake Keylogger için birincil teslimat yöntemi, tehdit edici ekler veya bağlantılar içeren kimlik avı e-postaları olmaya devam ediyor. Kötü amaçlı yazılım, bu aldatıcı e-postalarla etkileşime girdiklerinde şüphelenmeyen kullanıcıların sistemlerine erişim sağlıyor. Chrome, Edge ve Firefox gibi yaygın olarak kullanılan Web tarayıcılarından hassas verileri toplamaya odaklanıyor. Bunu, tuş vuruşlarını kaydederek, oturum açma kimlik bilgilerini yakalayarak ve panodaki etkinliği izleyerek başarıyor.
Verilerin Geleneksel Olmayan Kanallardan Sızdırılması
Snake Keylogger bilgi toplamakla kalmaz; çalınan verilerin saldırganlara alışılmadık kanallar aracılığıyla ulaşmasını sağlar. Sızdırılan kimlik bilgileri ve hassas ayrıntılar Basit Posta Aktarım Protokolü (SMTP) veya Telegram botları aracılığıyla iletilir. Bu yöntemleri kullanarak, kötü amaçlı yazılım, bazı geleneksel güvenlik önlemlerini atlatarak saldırgan tarafından kontrol edilen sunuculara çalınan bilgilerin sürekli akışını sağlar.
AutoIt: Akıllı Bir Kaçınma Tekniği
Bu son saldırı dalgasını diğerlerinden ayıran şey, birincil yükü yürütmek için AutoIt betik dilinin kullanılmasıdır. Kötü amaçlı yazılım, AutoIt tarafından derlenen bir ikili dosyanın içine yerleştirilmiştir ve bu da geleneksel tespit mekanizmalarından kaçmasına olanak tanır. Bu yaklaşım, yalnızca statik analizi daha zor hale getirmekle kalmaz, aynı zamanda meşru otomasyon araçlarını yakından taklit eden dinamik davranışı da etkinleştirir ve varlığını daha da gizler.
Tehlikeye Atılan Sistemlerde Kalıcılığın Sağlanması
Bir kez çalıştırıldığında, Snake Keylogger enfekte olmuş sistemde etkin kalmasını sağlar. '%Local_AppData%\supergroup' dizinine 'ageless.exe' olarak kendisinin bir kopyasını bırakır. Dayanağını güçlendirmek için, Windows Başlangıç klasörüne 'ageless.vbs' adlı bir Visual Basic Script (VBS) dosyası da yerleştirir. Bu, sistem her yeniden başlatıldığında kötü amaçlı yazılımın otomatik olarak yeniden başlatılmasını sağlar ve işlemleri sonlandırılsa bile devam etmesini sağlar.
İşlem Boşaltma: Göz Önünde Gizleme
Saldırının son aşaması, birincil yükün, 'regsvcs.exe' gibi meşru bir .NET işlemine, işlem boşaltma olarak bilinen bir teknik kullanılarak enjekte edilmesini içerir. Bunu yaparak, Snake Keylogger güvenilir bir işlem kisvesi altında çalışabilir ve bu da tespit edilmesini önemli ölçüde daha zor hale getirir.
Tuş Vuruşlarının Kaydedilmesi ve Mağdurların İzlenmesi
Kimlik bilgisi hırsızlığının ötesinde, Snake Keylogger ayrıca tuş vuruşlarını kaydederek kullanıcı etkinliğini izler. Tuş vuruşlarını yakalamak için tasarlanmış düşük seviyeli bir klavye kancası olan WH_KEYBOARD_LL bayrağı (bayrak 13) ile SetWindowsHookEx API'sini kullanır. Bu yöntem, bankacılık bilgileri ve parolalar dahil olmak üzere hassas girdileri kaydetmesini sağlar. Ek olarak, kötü amaçlı yazılım kurbanın IP adresini ve coğrafi konumunu belirlemek için checkip.dyndns.org gibi harici hizmetleri kullanır ve veri toplama yeteneklerini daha da artırır.
Kalıcı ve Gelişen Bir Tehdit
Snake Keylogger'ın yeniden canlanması, siber tehditlerin evrimleşen doğasını vurguluyor. AutoIt betikleme ve işlem boşaltma gibi yeni tekniklerden yararlanarak, çok sayıda sistemi tehlikeye atarken tespit edilmekten kaçmaya devam ediyor. Yöntemleri hakkında bilgi sahibi olmak ve e-postaları işlerken dikkatli olmak, bu sürekli tehdit ile ilişkili riskleri azaltmada hayati önem taşıyor.
