Snake 键盘记录器变种

Snake Keylogger 的新变种正在积极攻击中国、土耳其、印度尼西亚、台湾和西班牙的 Windows 用户。研究人员跟踪了这一新版本，并将其与今年年初以来全球范围内令人震惊的 2.8 亿次感染尝试联系起来，突显了其广泛的影响。

网络钓鱼陷阱：蛇形键盘记录器如何传播

Snake Keylogger的主要传播方式仍然是嵌入威胁性附件或链接的网络钓鱼电子邮件。一旦用户与这些欺骗性电子邮件互动，该恶意软件便会获得对不知情用户的系统的访问权限。它专注于从广泛使用的 Web 浏览器（如 Chrome、Edge 和 Firefox）中收集敏感数据。它通过记录击键、捕获登录凭据和监视剪贴板活动来实现此目的。

通过非常规渠道泄露数据

Snake Keylogger 并不止于收集信息——它确保窃取的数据通过非常规渠道到达攻击者手中。窃取的凭证和敏感信息通过简单邮件传输协议 (SMTP) 或 Telegram 机器人传输。通过利用这些方法，恶意软件可以稳定地将窃取的信息发送到攻击者控制的服务器，从而绕过一些传统的安全措施。

AutoIt：一种巧妙的规避技术

最新一波攻击的与众不同之处在于，它使用 AutoIt 脚本语言来执行主要负载。该恶意软件嵌入在 AutoIt 编译的二进制文件中，因此可以逃避传统的检测机制。这种方法不仅使静态分析更具挑战性，而且还能实现与合法自动化工具非常相似的动态行为，从而进一步掩盖其存在。

在受感染系统上建立持久性

一旦执行，Snake Keylogger 便会确保其在受感染的系统上保持活动状态。它会将自身副本作为“ageless.exe”放在“%Local_AppData%\supergroup”目录中。为了巩固其立足点，它还会将名为“ageless.vbs”的 Visual Basic Script (VBS) 文件放在 Windows 启动文件夹中。这可确保每次系统重新启动时，恶意软件都会自动重新启动，即使其进程终止，它也能持续存在。

流程空心化：隐藏在显而易见的地方

攻击的最后阶段是使用一种称为 process hollowing 的技术将主要负载注入合法的 .NET 进程（例如“regsvcs.exe”）。通过这种方式，Snake Keylogger 能够伪装成受信任的进程运行，从而大大增加了检测难度。

记录击键并追踪受害者

除了窃取凭证之外，Snake Keylogger 还通过记录击键来监控用户活动。它利用带有 WH_KEYBOARD_LL 标志（标志 13）的 SetWindowsHookEx API，这是一个旨在捕获击键的低级键盘钩子。此方法使其能够记录敏感输入，包括银行详细信息和密码。此外，该恶意软件使用 checkip.dyndns.org 等外部服务来确定受害者的 IP 地址和地理位置，从而进一步增强其数据收集能力。

持续且不断演变的威胁

Snake Keylogger 的卷土重来凸显了网络威胁的不断演变。通过利用 AutoIt 脚本和进程挖空等新技术，它继续逃避检测，同时危害大量系统。了解其方法并在处理电子邮件时保持谨慎，对于减轻与这种持续威胁相关的风险仍然至关重要。