SnappyClient 恶意软件
SnappyClient 是一款用 C++ 编写的高度复杂的恶意软件,通过名为 HijackLoader 的加载器进行传播。它是一种远程访问木马 (RAT),使网络犯罪分子能够控制受感染的系统并窃取敏感数据。一旦进入设备,该恶意软件就会连接到命令与控制 (C2) 服务器以接收指令并执行恶意操作。
目录
规避技术和系统操控
为了不被检测到,SnappyClient 会干扰 Windows 内置的安全机制。其关键策略之一是篡改反恶意软件扫描接口 (AMSI),该接口负责扫描脚本和代码中的恶意行为。SnappyClient 不会让 AMSI 标记威胁,而是操纵其输出,使有害活动看起来安全无害。
该恶意软件还依赖于一个内部配置列表来控制其行为。这些设置决定了收集哪些数据、数据存储在哪里、如何保持持久性以及在特定条件下是否继续执行。这种配置确保即使系统重启,恶意软件也能保持活动状态。
此外,SnappyClient还会从攻击者控制的服务器检索两个加密文件。这些文件以隐藏格式存储,用于动态控制恶意软件在受感染系统上的功能。
强大的系统控制能力
SnappyClient 使攻击者能够深度控制受感染的设备。它可以捕获屏幕截图并将其传输给远程操作员,从而直接洞察用户活动。该恶意软件还支持完整的进程管理,允许攻击者监控、暂停、恢复或终止正在运行的进程。此外,它还支持向合法进程注入代码,使其能够在系统中隐蔽运行。
文件系统操控是该恶意软件的另一项核心功能。它可以浏览目录、创建或删除文件和文件夹,并执行复制、移动、重命名、压缩或解压缩等操作,即使是受密码保护的文件也不例外。它还可以执行文件并分析快捷方式。
数据窃取和监控功能
SnappyClient 的主要目标是数据窃取。它内置键盘记录器,可以记录击键并将捕获的数据发送给攻击者。除此之外,它还能从浏览器和其他应用程序中提取各种敏感信息,包括登录凭据、Cookie、浏览历史记录、书签、会话数据和扩展程序相关信息。
该恶意软件还能根据攻击者预设的过滤器(例如文件名或路径)搜索并窃取特定文件或目录。除了窃取数据外,它还能从远程服务器下载文件并将其存储在受感染的本地计算机上。
高级执行和利用功能
SnappyClient 支持多种执行恶意载荷的方法。它可以运行标准可执行文件、加载动态链接库 (DLL),或从归档文件中提取并执行内容。它还允许攻击者定义执行参数,例如工作目录和命令行参数。在某些情况下,它会尝试绕过用户帐户控制 (UAC) 以获取更高的权限。
其他值得注意的功能包括启动隐藏的浏览器会话,使攻击者能够在用户不知情的情况下监控和操纵网络活动。它还提供命令行界面,用于远程执行系统命令。剪贴板篡改是另一个危险的功能,攻击者常利用此功能将加密货币钱包地址替换为自己控制的地址。
目标应用和数据源
SnappyClient 旨在从各种应用程序中提取信息,特别是网络浏览器和加密货币工具。
目标浏览器包括:
360浏览器、Brave浏览器、Chrome浏览器、CocCoc浏览器、Edge浏览器、Firefox浏览器、Opera浏览器、Slimjet浏览器、Vivaldi浏览器和Waterfox浏览器
目标加密货币钱包和工具包括:
Coinbase、Metamask、Phantom、TronLink、TrustWallet
Atomic、BitcoinCore、Coinomi、Electrum、Exodus、LedgerLive、TrezorSuite 和 Wasabi
这种广泛的攻击目标大大增加了金融盗窃和凭证泄露的可能性。
欺骗性分发方法
SnappyClient 主要通过欺骗性传播手段进行传播,诱骗用户执行恶意文件。一种常见的方法是创建冒充合法电信公司的虚假网站。当用户访问这些网站时,它们会在用户不知情的情况下将 HijackLoader 下载到受害者的设备上。如果 HijackLoader 被执行,它就会部署 SnappyClient。
另一种攻击策略利用社交媒体平台,例如 X(更广为人知的名称是 Twitter)。攻击者发布链接或指令,诱使用户启动下载,有时会使用 ClickFix 等技术。这些操作最终会导致 HijackLoader 执行并安装恶意软件。
感染的风险和影响
SnappyClient 具有隐蔽性、多功能性和强大的功能,因此构成严重的网络安全威胁。一旦部署,攻击者即可利用它监控用户活动、窃取敏感信息、操纵系统运行并执行其他恶意代码。
此类感染的后果可能很严重,包括账户劫持、身份盗窃、经济损失、进一步的恶意软件感染以及长期的系统损害。
