Snake Keylogger-Variante stiehlt alle sensiblen Daten
Table of Contents
Ein hartnäckiger Informationsdieb, der es auf Windows-Benutzer abgesehen hat
Eine weitere aufgetauchte Variante von Snake Keylogger wurde entdeckt, als sie aktiv Windows-Benutzer in mehreren Regionen angreift, darunter China, Türkei, Indonesien, Taiwan und Spanien. Berichten zufolge hat diese Version seit Jahresbeginn weltweit bereits über 280 Millionen blockierte Infektionsversuche ausgelöst. Ihr Hauptziel besteht darin, vertrauliche Benutzerdaten, insbesondere Anmeldeinformationen, abzufangen, indem sie Tastatureingaben protokolliert, die Aktivität in der Zwischenablage überwacht und Informationen aus weit verbreiteten Webbrowsern wie Chrome, Edge und Firefox extrahiert.
So erhält der Snake Keylogger Zugriff auf Geräte
Die primäre Verbreitungsmethode dieses Keyloggers sind betrügerische E-Mails mit bösartigen Links oder Anhängen. Nach der Ausführung nistet sich die Schadsoftware tief im System ein, um gestohlene Daten zu sammeln und zu übertragen. Dies wird durch die Nutzung des Simple Mail Transfer Protocol (SMTP) und von Telegram-Bots erreicht, wodurch Angreifer die kompromittierten Informationen aus der Ferne abrufen können.
Ein besonderes Merkmal dieser jüngsten Angriffswelle ist die Verwendung der Skriptsprache AutoIt . Durch die Einbettung der Nutzlast in eine von AutoIt kompilierte Binärdatei kann die Schadsoftware herkömmliche Erkennungstools umgehen, was es für Sicherheitssysteme schwieriger macht, die Bedrohung zu identifizieren. Darüber hinaus führt AutoIt dynamische Verhaltensweisen ein, die legitimen Automatisierungstools stark ähneln, was die Erkennung zusätzlich erschwert.
Einrichten der Persistenz auf dem System
Nach der Installation stellt Snake Keylogger seine Persistenz sicher, indem er sich selbst als Datei mit dem Namen „ageless.exe“ in das Verzeichnis „%Local_AppData%\supergroup“ kopiert. Darüber hinaus legt er eine sekundäre Datei mit dem Namen „ageless.vbs“ im Windows-Startordner ab, die sicherstellt, dass die Malware bei jedem Neustart des Systems neu geladen wird. Mit dieser Methode kann der Keylogger seine Vorgänge fortsetzen, selbst wenn der ursprüngliche Prozess angehalten oder entfernt wird.
Um seine Präsenz noch besser zu verbergen, injiziert Snake Keylogger seine Kernnutzlast in einen legitimen .NET-Prozess wie „regsvcs.exe“. Diese als Process Hollowing bekannte Technik ermöglicht es bösartiger Software, innerhalb eines vertrauenswürdigen Systemprozesses zu agieren, was es für Sicherheitslösungen schwieriger macht, die Bedrohung zu erkennen und zu beseitigen.
Die Auswirkungen der Aktivitäten des Snake Keyloggers
Nach erfolgreicher Einbettung in ein System erfasst Snake Keylogger Tastatureingaben mithilfe einer speziellen Technik, die die SetWindowsHookEx-API verwendet. Wenn Sie den ersten Parameter auf WH_KEYBOARD_LL (Flag 13) setzen, wird eine Tastaturüberwachung auf niedriger Ebene ermöglicht. Dadurch können Angreifer vertrauliche Benutzereingaben protokollieren, darunter Bankdaten, Passwörter und private Nachrichten.
Der Keylogger zeichnet nicht nur Tastatureingaben auf, sondern greift auch auf Webdienste wie checkip.dyndns.org zu, um den geografischen Standort und die IP-Adresse des infizierten Systems zu ermitteln. Diese Daten könnten für weitere gezielte Angriffe oder zur Verbesserung anderer bösartiger Kampagnen basierend auf dem Standort des Opfers verwendet werden.
Ähnliche Bedrohungen nutzen betrügerische Techniken
Das Auftauchen dieser Snake-Keylogger-Variante steht im Einklang mit breiteren Trends in der Cyberkriminalität, bei denen böswillige Akteure fortschrittliche Skripttechniken nutzen, um der Erkennung zu entgehen. Jüngste Untersuchungen haben auch separate Kampagnen aufgedeckt, die Stealer-Bedrohungen mithilfe von als PDF-Dokumente getarnten Shortcut-Dateien (LNK) verbreiten. Diese LNK-Dateien, die auf der kompromittierten Infrastruktur von Bildungseinrichtungen gehostet werden, führen PowerShell-Befehle aus, um zusätzliche Bedrohungen herunterzuladen und zu installieren.
Eine andere verwandte Technik besteht darin, verschleierte JavaScript-Dateien zu verwenden, um ähnliche Bedrohungen zu verbreiten. Diese Skripte rufen codierte Zeichenfolgen von Open-Source-Diensten ab, was letztendlich zur Ausführung von PowerShell-Befehlen führt, die schädliche Nutzdaten herunterladen. Einige dieser Nutzdaten wurden mithilfe steganografischer Methoden in scheinbar harmlose Bilddateien eingebettet, was ihre Erkennung noch schwieriger macht.
Minderung der mit Snake Keylogger verbundenen Risiken
Angesichts der ausgeklügelten Natur dieses Keyloggers und seiner Umgehungstechniken sollten Benutzer beim Umgang mit unerwünschten E-Mails oder Anhängen vorsichtig sein. Unternehmen sollten erweiterte E-Mail-Filter implementieren, um verdächtige Nachrichten zu blockieren, bevor sie die Mitarbeiter erreichen. Darüber hinaus sollten Endgerätesicherheitslösungen regelmäßig aktualisiert werden, um neue Umgehungsstrategien dieser Bedrohungen zu erkennen.
Da Angreifer ihre Methoden immer weiter verfeinern, bleibt das Bewusstsein für Cybersicherheit eine wichtige Verteidigungsstrategie. Wenn man versteht, wie betrügerische Techniken funktionieren, und beim Surfen im Internet oder beim Abrufen von E-Mails wachsam bleibt, kann das Risiko solcher Bedrohungen erheblich gesenkt werden. Indem sie auf dem Laufenden bleiben und proaktive Sicherheitsmaßnahmen ergreifen, können Einzelpersonen und Unternehmen ihre vertraulichen Informationen besser vor sich entwickelnden digitalen Gefahren schützen.
