Snake 鍵盤記錄器變種

Snake Keylogger 的新變種正積極瞄準中國、土耳其、印尼、台灣和西班牙的 Windows 用戶。研究人員追蹤了該新版本，並將其與今年年初以來全球範圍內發生的驚人的 2.8 億次感染嘗試聯繫起來，凸顯了其廣泛的影響。

網路釣魚陷阱：蛇形鍵盤記錄器如何傳播

Snake Keylogger的主要傳送方式仍然是嵌入威脅性附件或連結的網路釣魚電子郵件。一旦毫無戒心的使用者與這些欺騙性電子郵件互動，惡意軟體就會獲得對使用者係統的存取權限。它專注於從 Chrome、Edge 和 Firefox 等廣泛使用的 Web 瀏覽器收集敏感資料。它透過記錄擊鍵、捕獲登入憑證和監控剪貼簿活動來實現這一點。

透過非常規管道洩漏數據

Snake Keylogger 不止於收集資訊——它還確保竊取的資料透過非常規管道到達攻擊者手中。被竊取的憑證和敏感詳細資訊透過簡單郵件傳輸協定 (SMTP) 或 Telegram 機器人傳輸。透過利用這些方法，惡意軟體可以竊取資訊並穩定地流向攻擊者控制的伺服器，從而繞過一些傳統的安全措施。

AutoIt：一種巧妙的規避技術

最新一波攻擊的特殊之處在於使用 AutoIt 腳本語言來執行主要負載。該惡意軟體嵌入在 AutoIt 編譯的二進位檔案中，使其能夠逃避傳統的偵測機制。這種方法不僅使靜態分析更具挑戰性，而且還能夠實現與合法自動化工具緊密模仿的動態行為，進一步掩蓋其存在。

在受感染系統上建立持久性

一旦執行，Snake Keylogger 就會確保它在受感染的系統上保持活躍。它將自身的副本作為「ageless.exe」放置在「%Local_AppData%\supergroup」目錄中。為了鞏固其立足點，它還在 Windows 啟動資料夾中放置一個名為「ageless.vbs」的 Visual Basic 腳本 (VBS) 檔案。這確保了每次系統重新啟動時，惡意軟體都會自動重新啟動，即使其進程終止，它也能持續存在。

流程空洞化：隱藏在顯而易見的地方

攻擊的最後階段涉及使用一種稱為進程挖空的技術將主要負載注入合法的.NET 進程（例如「regsvcs.exe」）。透過這樣做，Snake Keylogger 能夠以可信任進程的名義運行，從而更難檢測。

記錄擊鍵並追蹤受害者

除了竊取憑證之外，Snake Keylogger 還透過記錄擊鍵來監視使用者活動。它利用帶有 WH_KEYBOARD_LL 標誌（標誌 13）的 SetWindowsHookEx API，這是一個用於捕獲擊鍵的低級鍵盤鉤子。這種方法使其能夠記錄敏感輸入，包括銀行詳細資訊和密碼。此外，該惡意軟體還使用 checkip.dyndns.org 等外部服務來確定受害者的 IP 位址和地理位置，進一步增強其資料收集能力。

持續且不斷演變的威脅

Snake Keylogger 的再次出現凸顯了網路威脅的不斷演變。透過利用 AutoIt 腳本和進程挖空等新技術，它在危害大量系統的同時繼續逃避偵測。了解其方法並在處理電子郵件時保持謹慎對於減輕與這種持續威脅相關的風險仍然至關重要。