Варіант Snake Keylogger
Новий варіант Snake Keylogger активно націлений на користувачів Windows у Китаї, Туреччині, Індонезії, Тайвані та Іспанії. Дослідники відстежили цю нову версію та пов’язали її з тривожними 280 мільйонами спроб зараження по всьому світу з початку року, підкреслюючи її широке поширення.
Зміст
Пастка для фішингу: як поширюється Snake Keylogger
Основним способом доставки для Snake Keylogger залишаються фішингові електронні листи, вкладені з погрозами або посиланнями. Зловмисне програмне забезпечення отримує доступ до систем нічого не підозрюючих користувачів, коли вони взаємодіють із цими оманливими електронними листами. Він зосереджений на зборі конфіденційних даних із широко використовуваних веб-браузерів, таких як Chrome, Edge і Firefox. Це досягається шляхом запису натискань клавіш, запису облікових даних для входу та моніторингу активності буфера обміну.
Викрадання даних через нетрадиційні канали
Snake Keylogger не обмежується збиранням інформації — він гарантує, що викрадені дані потраплять до зловмисників нетрадиційними каналами. Викрадені облікові дані та конфіденційні дані передаються через простий протокол передачі пошти (SMTP) або ботів Telegram. Використовуючи ці методи, зловмисне програмне забезпечення підтримує постійний потік викраденої інформації до серверів, контрольованих зловмисниками, в обхід деяких традиційних заходів безпеки.
AutoIt: хитра техніка ухилення
Що відрізняє цю останню хвилю атак, так це використання мови сценаріїв AutoIt для виконання основного корисного навантаження. Зловмисне програмне забезпечення вбудовано в двійковий файл, скомпільований AutoIt, що дозволяє йому уникати традиційних механізмів виявлення. Цей підхід не тільки ускладнює статичний аналіз, але й забезпечує динамічну поведінку, яка точно імітує законні інструменти автоматизації, ще більше маскуючи їх присутність.
Встановлення стійкості на скомпрометованих системах
Після запуску Snake Keylogger гарантує, що він залишається активним в зараженій системі. Він розміщує свою копію як «ageless.exe» у каталозі «%Local_AppData%\supergroup». Щоб зміцнити свою опору, він також розміщує файл Visual Basic Script (VBS) під назвою «ageless.vbs» у папку запуску Windows. Це гарантує, що щоразу, коли система перезавантажується, зловмисне програмне забезпечення автоматично перезапускається, дозволяючи йому зберігатися, навіть якщо його процеси припинено.
Процес випорожнення: приховування на видноті
Останній етап атаки включає введення основного корисного навантаження в легітимний процес .NET, такий як "regsvcs.exe", за допомогою техніки, відомої як процес hollowing. Завдяки цьому Snake Keylogger може працювати під виглядом надійного процесу, що значно ускладнює його виявлення.
Реєстрація натискань клавіш і відстеження жертв
Окрім крадіжки облікових даних, Snake Keylogger також відстежує активність користувачів, реєструючи натискання клавіш. Він використовує SetWindowsHookEx API з прапорцем WH_KEYBOARD_LL (прапорець 13), низькорівневим перехопленням клавіатури, призначеним для захоплення натискань клавіш. Цей метод дозволяє записувати конфіденційні дані, зокрема банківські реквізити та паролі. Крім того, зловмисне програмне забезпечення використовує зовнішні служби, такі як checkip.dyndns.org, для визначення IP-адреси та геолокації жертви, що ще більше покращує можливості збору даних.
Постійна загроза, що розвивається
Відродження Snake Keylogger підкреслює еволюцію кіберзагроз. Завдяки використанню нових методів, таких як створення сценаріїв AutoIt і порожнення процесів, він продовжує уникати виявлення, одночасно компрометуючи величезну кількість систем. Бути в курсі його методів і проявляти обережність під час обробки електронних листів залишаються вирішальними для пом’якшення ризиків, пов’язаних із цією постійною загрозою.
