Шкідливе програмне забезпечення SnappyClient
SnappyClient — це високотехнологічне шкідливе програмне забезпечення, написане на C++ та розповсюджуване через завантажувач під назвою HijackLoader. Воно функціонує як троян віддаленого доступу (RAT), що дозволяє кіберзлочинцям контролювати скомпрометовані системи та витягувати конфіденційні дані. Потрапивши в пристрій, шкідливе програмне забезпечення підключається до сервера командування та управління (C2) для отримання інструкцій та виконання шкідливих операцій.
Зміст
Методи ухилення та маніпуляції системою
Щоб залишатися непоміченим, SnappyClient втручається у вбудовані механізми безпеки Windows. Ключова тактика полягає в втручанні в інтерфейс сканування антивірусного програмного забезпечення (AMSI), який відповідає за сканування скриптів і коду на наявність шкідливої поведінки. Замість того, щоб дозволити AMSI позначати загрози, шкідливе програмне забезпечення маніпулює своїм виводом так, щоб шкідлива діяльність виглядала безпечною.
Шкідливе програмне забезпечення також спирається на внутрішній список конфігурації, який визначає його поведінку. Ці налаштування визначають, які дані збираються, де вони зберігаються, як підтримується збереження даних та чи продовжується виконання за певних умов. Ця конфігурація гарантує, що шкідливе програмне забезпечення залишається активним навіть після перезавантаження системи.
Крім того, SnappyClient отримує два зашифровані файли з серверів, контрольованих зловмисником. Ці файли зберігаються у прихованому форматі та використовуються для динамічного керування функціональністю шкідливого програмного забезпечення в зараженій системі.
Широкі можливості керування системою
SnappyClient надає зловмисникам глибокий контроль над скомпрометованими пристроями. Він може робити знімки екрана та передавати їх віддаленим операторам, пропонуючи прямий аналіз активності користувачів. Шкідливе програмне забезпечення також забезпечує повне керування процесами, дозволяючи зловмисникам контролювати, призупиняти, відновлювати або завершувати запущені процеси. Крім того, воно підтримує впровадження коду в легітимні процеси, що допомагає йому приховано діяти в системі.
Маніпулювання файловою системою – ще одна ключова функція. Шкідливе програмне забезпечення може переглядати каталоги, створювати або видаляти файли та папки, а також виконувати такі операції, як копіювання, переміщення, перейменування, стиснення або вилучення архівів, навіть тих, що захищені паролями. Воно також може виконувати файли та аналізувати ярлики.
Функції крадіжки даних та спостереження
Головною метою SnappyClient є вилучення даних. Він містить вбудований кейлогер, який записує натискання клавіш і надсилає захоплені дані зловмисникам. Крім того, він витягує широкий спектр конфіденційної інформації з браузерів та інших програм, включаючи облікові дані для входу, файли cookie, історію переглядів, закладки, дані сеансу та інформацію, пов’язану з розширеннями.
Шкідливе програмне забезпечення також може шукати та красти певні файли або каталоги на основі визначених зловмисником фільтрів, таких як імена файлів або шляхи. Окрім крадіжки даних, воно здатне завантажувати файли з віддалених серверів та зберігати їх локально на зараженому комп’ютері.
Розширені функції виконання та експлуатації
SnappyClient підтримує кілька методів виконання шкідливих корисних навантажень. Він може запускати стандартні виконувані файли, завантажувати бібліотеки динамічного компонування (DLL) або витягувати та виконувати вміст з архівованих файлів. Він також дозволяє зловмисникам визначати параметри виконання, такі як робочі каталоги та аргументи командного рядка. У деяких випадках він намагається обійти контроль облікових записів користувачів (UAC), щоб отримати підвищені привілеї.
Інші помітні функції включають можливість запуску прихованих сеансів браузера, що дозволяє зловмисникам відстежувати та маніпулювати веб-активністю без відома користувача. Він також надає інтерфейс командного рядка для віддаленого виконання системних команд. Маніпуляції з буфером обміну – ще одна небезпечна функція, яка часто використовується для заміни адрес криптовалютних гаманців тими, що контролюються зловмисниками.
Цільові програми та джерела даних
SnappyClient розроблений для вилучення інформації з широкого спектру програм, зокрема веббраузерів та інструментів для роботи з криптовалютою.
Цільові веббраузери включають:
Браузер 360, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi та Waterfox
Цільові криптовалютні гаманці та інструменти включають:
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite та Wasabi
Таке широке таргетування значно збільшує потенціал для фінансових крадіжок та компрометації облікових даних.
Оманливі методи розповсюдження
SnappyClient поширюється переважно за допомогою оманливих методів доставки, розроблених для того, щоб обманом змусити користувачів запускати шкідливі файли. Один із поширених методів включає фальшиві веб-сайти, які видають себе за законні телекомунікаційні компанії. Під час відвідування ці сайти непомітно завантажують HijackLoader на пристрій жертви. У разі запуску завантажувач розгортає SnappyClient.
Ще одна поширена тактика використовує платформи соціальних мереж, такі як X (більш відомий як Twitter). Зловмисники публікують посилання або інструкції, які спонукають користувачів розпочати завантаження, іноді використовуючи такі методи, як ClickFix. Ці дії зрештою призводять до запуску HijackLoader та встановлення шкідливого програмного забезпечення.
Ризики та вплив інфекції
SnappyClient являє собою серйозну кіберзагрозу через свою прихованість, універсальність та широкі можливості. Після розгортання він дозволяє зловмисникам відстежувати активність користувачів, красти конфіденційну інформацію, маніпулювати системними операціями та виконувати додаткові шкідливі завдання.
Наслідки таких інфекцій можуть бути серйозними, включаючи викрадення облікового запису, крадіжку особистих даних, фінансові втрати, подальше зараження шкідливим програмним забезпеченням та довгострокове порушення роботи системи.
