Biến thể Snake Keylogger
Một biến thể mới của Snake Keylogger đang tích cực nhắm vào người dùng Windows ở Trung Quốc, Thổ Nhĩ Kỳ, Indonesia, Đài Loan và Tây Ban Nha. Các nhà nghiên cứu đã theo dõi phiên bản mới này và liên kết nó với 280 triệu nỗ lực lây nhiễm đáng báo động trên toàn thế giới kể từ đầu năm, làm nổi bật tác động lan rộng của nó.
Mục lục
Bẫy lừa đảo: Snake Keylogger lây lan như thế nào
Phương pháp phân phối chính của Snake Keylogger vẫn là email lừa đảo được nhúng với các tệp đính kèm hoặc liên kết đe dọa. Phần mềm độc hại này sẽ truy cập vào hệ thống của những người dùng không nghi ngờ sau khi họ tương tác với các email lừa đảo này. Nó tập trung vào việc thu thập dữ liệu nhạy cảm từ các trình duyệt web được sử dụng rộng rãi như Chrome, Edge và Firefox. Nó thực hiện điều này bằng cách ghi lại các lần nhấn phím, thu thập thông tin đăng nhập và theo dõi hoạt động của clipboard.
Trích xuất dữ liệu thông qua các kênh không chính thống
Snake Keylogger không dừng lại ở việc thu thập thông tin—nó đảm bảo dữ liệu bị đánh cắp đến tay kẻ tấn công thông qua các kênh không thông thường. Thông tin đăng nhập và thông tin nhạy cảm bị rò rỉ được truyền qua Simple Mail Transfer Protocol (SMTP) hoặc bot Telegram. Bằng cách sử dụng các phương pháp này, phần mềm độc hại duy trì luồng thông tin bị đánh cắp ổn định đến các máy chủ do kẻ tấn công kiểm soát, bỏ qua một số biện pháp bảo mật thông thường.
AutoIt: Một kỹ thuật né tránh thông minh
Điều khiến làn sóng tấn công mới nhất này trở nên khác biệt là việc sử dụng ngôn ngữ lập trình AutoIt để thực thi tải trọng chính. Phần mềm độc hại được nhúng trong tệp nhị phân do AutoIt biên dịch, cho phép nó tránh được các cơ chế phát hiện truyền thống. Cách tiếp cận này không chỉ khiến phân tích tĩnh trở nên khó khăn hơn mà còn cho phép hành vi động mô phỏng chặt chẽ các công cụ tự động hóa hợp pháp, che giấu sự hiện diện của nó hơn nữa.
Thiết lập tính bền bỉ trên các hệ thống bị xâm phạm
Sau khi thực thi, Snake Keylogger đảm bảo nó vẫn hoạt động trên hệ thống bị nhiễm. Nó thả một bản sao của chính nó dưới dạng 'ageless.exe' trong thư mục '%Local_AppData%\supergroup'. Để củng cố chỗ đứng của mình, nó cũng đặt một tệp Visual Basic Script (VBS) có tên 'ageless.vbs' trong thư mục Windows Startup. Điều này đảm bảo rằng mỗi lần hệ thống khởi động lại, phần mềm độc hại sẽ tự động khởi chạy lại, cho phép nó tồn tại ngay cả khi các quy trình của nó đã bị chấm dứt.
Quá trình rỗng: Ẩn trong tầm nhìn rõ ràng
Giai đoạn cuối cùng của cuộc tấn công bao gồm việc đưa payload chính vào một quy trình .NET hợp pháp, chẳng hạn như 'regsvcs.exe', bằng cách sử dụng một kỹ thuật được gọi là process hollowing. Bằng cách đó, Snake Keylogger có thể hoạt động dưới vỏ bọc của một quy trình đáng tin cậy, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Ghi lại các lần nhấn phím và theo dõi nạn nhân
Ngoài việc đánh cắp thông tin xác thực, Snake Keylogger còn theo dõi hoạt động của người dùng bằng cách ghi lại các lần nhấn phím. Nó tận dụng API SetWindowsHookEx với cờ WH_KEYBOARD_LL (cờ 13), một móc bàn phím cấp thấp được thiết kế để ghi lại các lần nhấn phím. Phương pháp này cho phép nó ghi lại thông tin đầu vào nhạy cảm, bao gồm thông tin chi tiết về ngân hàng và mật khẩu. Ngoài ra, phần mềm độc hại sử dụng các dịch vụ bên ngoài như checkip.dyndns.org để xác định địa chỉ IP và vị trí địa lý của nạn nhân, qua đó tăng cường hơn nữa khả năng thu thập dữ liệu của nó.
Một mối đe dọa dai dẳng và đang phát triển
Sự hồi sinh của Snake Keylogger nhấn mạnh bản chất đang phát triển của các mối đe dọa mạng. Bằng cách tận dụng các kỹ thuật mới như AutoIt scripting và process hollowing, nó tiếp tục trốn tránh sự phát hiện trong khi xâm phạm số lượng lớn các hệ thống. Việc luôn cập nhật về các phương pháp của nó và thận trọng khi xử lý email vẫn là yếu tố quan trọng để giảm thiểu rủi ro liên quan đến mối đe dọa dai dẳng này.
