Snake Keylogger-variant vil stjæle alle følsomme data
Table of Contents
En vedvarende informationstyver, der målretter mod Windows-brugere
En anden dukket variant af Snake Keylogger er blevet opdaget, der aktivt målretter mod Windows-brugere i flere regioner, herunder Kina, Tyrkiet, Indonesien, Taiwan og Spanien. Rapporter indikerer, at denne version allerede har udløst over 280 millioner blokerede infektionsforsøg globalt siden starten af året. Dens primære mål er at indfange følsomme brugerdata, især login-legitimationsoplysninger, ved at logge tastetryk, overvåge udklipsholderaktivitet og udtrække information fra udbredte webbrowsere som Chrome, Edge og Firefox.
Hvordan Snake Keylogger får adgang til enheder
Den primære distributionsmetode for denne keylogger er gennem vildledende e-mails med ondsindede links eller vedhæftede filer. Når den ondsindede software først er udført, indlejrer den sig selv dybt i systemet for at indsamle og overføre stjålne data. Dette opnås ved at udnytte Simple Mail Transfer Protocol (SMTP) og Telegram-bots, hvilket gør det muligt for angribere at hente de kompromitterede oplysninger eksternt.
Et kendetegn ved denne seneste bølge af angreb er brugen af AutoIt-scriptsproget . Ved at indlejre sin nyttelast i en AutoIt-kompileret binær, gør denne teknik det muligt for den ondsindede software at undgå traditionelle registreringsværktøjer, hvilket gør det sværere for sikkerhedssystemer at identificere truslen. Derudover introducerer AutoIt dynamisk adfærd, der ligner legitime automatiseringsværktøjer, hvilket yderligere komplicerer dets opdagelse.
Etablering af persistens på systemet
Når den er installeret, sikrer Snake Keylogger dens vedholdenhed ved at kopiere sig selv som en fil med navnet "ageless.exe" i mappen "%Local_AppData%\supergroup". Ydermere placerer den en sekundær fil kaldet "ageless.vbs" i Windows Startup-mappen, som sikrer, at malwaren genindlæses, hver gang systemet genstartes. Denne metode gør det muligt for keyloggeren at fortsætte sine operationer, selvom den indledende proces stoppes eller fjernes.
For yderligere at skjule sin tilstedeværelse, injicerer Snake Keylogger sin kernenyttelast i en legitim .NET-proces, såsom "regsvcs.exe." Denne teknik, kendt som procesudhulning, gør det muligt for ondsindet software at fungere inden for en pålidelig systemproces, hvilket gør det mere udfordrende for sikkerhedsløsninger at opdage og eliminere truslen.
Implikationerne af Snake Keyloggers aktiviteter
Når den er indlejret i et system, fanger Snake Keylogger tastetryk ved hjælp af en specialiseret teknik, der involverer SetWindowsHookEx API. Indstilling af den første parameter til WH_KEYBOARD_LL (flag 13) aktiverer tastaturovervågning på lavt niveau. Dette giver angribere mulighed for at logge følsomme brugerinput, herunder bankoplysninger, adgangskoder og private beskeder.
Ud over at registrere tastetryk, får keyloggeren også adgang til webtjenester som checkip.dyndns.org for at bestemme den geografiske placering og IP-adressen for det kompromitterede system. Disse data kan bruges til yderligere målretning eller til at forbedre andre ondsindede kampagner baseret på ofrets placering.
Lignende trusler udnytter vildledende teknikker
Fremkomsten af denne Snake Keylogger-variant stemmer overens med bredere cyberkriminalitetstendenser, hvor ondsindede aktører udnytter avancerede scripting-teknikker til at undgå opdagelse. Nylige undersøgelser har også afsløret separate kampagner, der distribuerer tyveretrusler ved hjælp af genvejsfiler (LNK) forklædt som PDF-dokumenter. Disse LNK-filer, hostet på kompromitteret uddannelsesinstitutions infrastruktur, udfører PowerShell-kommandoer for at downloade og installere yderligere trusler.
En anden relateret teknik involverer at bruge slørede JavaScript-filer til at implementere lignende trusler. Disse scripts henter kodede strenge fra open source-tjenester, hvilket i sidste ende fører til udførelse af PowerShell-kommandoer, der downloader skadelige nyttelaster. Nogle af disse nyttelaster er blevet indlejret i tilsyneladende uskadelige billedfiler ved hjælp af steganografiske metoder, hvilket gør dem endnu sværere at opdage.
Reducering af risici forbundet med Snake Keylogger
I betragtning af den sofistikerede karakter af denne keylogger og dens unddragelsesteknikker, bør brugere udvise forsigtighed, når de håndterer uopfordrede e-mails eller vedhæftede filer. Organisationer bør implementere avanceret e-mail-filtrering for at blokere mistænkelige meddelelser, før de når medarbejderne. Endpoint-sikkerhedsløsninger bør desuden opdateres regelmæssigt for at genkende nye unddragelsesstrategier, der bruges af disse trusler.
Mens angribere fortsætter med at forfine deres metoder, forbliver cybersikkerhedsbevidsthed et kritisk forsvar. Forståelse af, hvordan vildledende teknikker virker, og opretholdelse af årvågenhed, mens du surfer på internettet eller får adgang til e-mails, kan reducere risikoen for sådanne trusler betydeligt. Ved at holde sig informeret og vedtage proaktive sikkerhedsforanstaltninger kan enkeltpersoner og virksomheder bedre beskytte deres følsomme oplysninger mod nye digitale farer.
