SnappyClient 惡意軟體
SnappyClient 是一款用 C++ 編寫的高度複雜的惡意軟體,透過名為 HijackLoader 的載入器進行傳播。它是一種遠端存取木馬 (RAT),使網路犯罪分子能夠控制受感染的系統並竊取敏感資料。一旦進入設備,該惡意軟體就會連接到命令與控制 (C2) 伺服器以接收指令並執行惡意操作。
目錄
規避技術與系統操控
為了不被偵測到,SnappyClient 會幹擾 Windows 內建的安全機制。其關鍵策略之一是篡改反惡意軟體掃描介面 (AMSI),該介面負責掃描腳本和程式碼中的惡意行為。 SnappyClient 不會讓 AMSI 標記威脅,而是操縱其輸出,使有害活動看起來安全無害。
該惡意軟體還依賴一個內部配置清單來控制其行為。這些設定決定了收集哪些資料、資料儲存在哪裡、如何保持持久性以及在特定條件下是否繼續執行。這種配置確保即使系統重啟,惡意軟體也能保持活動狀態。
此外,SnappyClient也會從攻擊者控制的伺服器檢索兩個加密檔案。這些檔案以隱藏格式存儲,用於動態控制惡意軟體在受感染系統上的功能。
強大的系統控制能力
SnappyClient 使攻擊者能夠深度控制受感染的設備。它可以捕獲螢幕截圖並將其傳輸給遠端操作員,從而直接洞察用戶活動。該惡意軟體還支援完整的進程管理,讓攻擊者可以監控、暫停、恢復或終止正在運行的進程。此外,它還支援向合法進程注入程式碼,使其能夠在系統中隱藏運作。
檔案系統操控是該惡意軟體的另一個核心功能。它可以瀏覽目錄、建立或刪除檔案和資料夾,並執行複製、移動、重新命名、壓縮或解壓縮等操作,即使是受密碼保護的檔案也不例外。它還可以執行檔案並分析快捷方式。
資料竊取和監控功能
SnappyClient 的主要目標是資料竊取。它內建鍵盤記錄器,可以記錄擊鍵並將捕獲的資料傳送給攻擊者。除此之外,它還能從瀏覽器和其他應用程式中提取各種敏感資訊,包括登入憑證、Cookie、瀏覽記錄、書籤、會話資料和擴充功能相關資訊。
該惡意軟體還可以根據攻擊者定義的過濾器(例如檔案名稱或路徑)搜尋並竊取特定檔案或目錄。除了竊取資料外,它還可以從遠端伺服器下載檔案並將其儲存在受感染的電腦上。
進階執行和利用功能
SnappyClient 支援多種執行惡意負載的方法。它可以運行標準可執行檔、載入動態連結庫 (DLL),或從歸檔檔案中提取並執行內容。它還允許攻擊者定義執行參數,例如工作目錄和命令列參數。在某些情況下,它會嘗試繞過使用者帳戶控制 (UAC) 以取得更高的權限。
其他值得注意的功能包括啟動隱藏的瀏覽器會話,使攻擊者能夠在使用者不知情的情況下監控和操縱網路活動。它還提供命令列介面,用於遠端執行系統命令。剪貼簿篡改是另一個危險的功能,攻擊者經常利用此功能將加密貨幣錢包位址替換為自己控制的位址。
目標應用和資料來源
SnappyClient 旨在從各種應用程式中提取訊息,特別是網路瀏覽器和加密貨幣工具。
目標瀏覽器包括:
360瀏覽器、Brave瀏覽器、Chrome瀏覽器、CocCoc瀏覽器、Edge瀏覽器、Firefox瀏覽器、Opera瀏覽器、Slimjet瀏覽器、Vivaldi瀏覽器和Waterfox瀏覽器
目標加密貨幣錢包和工具包括:
Coinbase、Metamask、Phantom、TronLink、TrustWallet
Atomic、BitcoinCore、Coinomi、Electrum、Exodus、LedgerLive、TrezorSuite 和 Wasabi
這種廣泛的攻擊目標大大增加了金融竊盜和憑證外洩的可能性。
欺騙性分發方法
SnappyClient 主要透過欺騙性傳播手段進行傳播,誘騙使用者執行惡意檔案。一種常見的方法是創建冒充合法電信公司的虛假網站。當使用者造訪這些網站時,它們會在使用者不知情的情況下將 HijackLoader 下載到受害者的裝置上。如果 HijackLoader 被執行,它就會部署 SnappyClient。
另一種攻擊策略是利用社群媒體平台,例如 X(更廣為人知的名稱是 Twitter)。攻擊者發布連結或指令,誘使用戶啟動下載,有時會使用 ClickFix 等技術。這些操作最終會導致 HijackLoader 執行並安裝惡意軟體。
感染的風險和影響
SnappyClient 具有隱藏性、多功能性和強大的功能,因此構成嚴重的網路安全威脅。一旦部署,攻擊者即可利用它監控用戶活動、竊取敏感資訊、操縱系統運行並執行其他惡意程式碼。
此類感染的後果可能很嚴重,包括帳戶劫持、身分盜竊、經濟損失、進一步的惡意軟體感染以及長期的系統損害。
