Η παραλλαγή Snake Keylogger θα κλέψει όλα τα ευαίσθητα δεδομένα

Ένας επίμονος κλέφτης πληροφοριών που στοχεύει χρήστες των Windows

Μια άλλη παραλλαγή του Snake Keylogger που εμφανίστηκε έχει εντοπιστεί και στοχεύει ενεργά χρήστες Windows σε πολλές περιοχές, όπως η Κίνα, η Τουρκία, η Ινδονησία, η Ταϊβάν και η Ισπανία. Οι αναφορές δείχνουν ότι αυτή η έκδοση έχει ήδη προκαλέσει περισσότερες από 280 εκατομμύρια αποκλεισμένες προσπάθειες μόλυνσης παγκοσμίως από την αρχή του έτους. Ο πρωταρχικός του στόχος είναι να καταγράφει ευαίσθητα δεδομένα χρήστη, ιδιαίτερα διαπιστευτήρια σύνδεσης, καταγράφοντας πατήματα πλήκτρων, παρακολουθώντας τη δραστηριότητα του προχείρου και εξάγοντας πληροφορίες από ευρέως χρησιμοποιούμενα προγράμματα περιήγησης ιστού όπως το Chrome, το Edge και το Firefox.

Πώς το Snake Keylogger αποκτά πρόσβαση σε συσκευές

Η κύρια μέθοδος διανομής για αυτό το keylogger είναι μέσω παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου που φέρουν κακόβουλους συνδέσμους ή συνημμένα. Μόλις εκτελεστεί, το κακόβουλο λογισμικό ενσωματώνεται βαθιά μέσα στο σύστημα για τη συλλογή και τη μετάδοση κλεμμένων δεδομένων. Αυτό επιτυγχάνεται με την αξιοποίηση του Simple Mail Transfer Protocol (SMTP) και των bot Telegram, επιτρέποντας στους εισβολείς να ανακτούν τις παραβιασμένες πληροφορίες εξ αποστάσεως.

Ένα χαρακτηριστικό γνώρισμα αυτού του τελευταίου κύματος επιθέσεων είναι η χρήση της γλώσσας δέσμης ενεργειών AutoIt . Με την ενσωμάτωση του ωφέλιμου φορτίου του σε ένα δυαδικό μεταγλωττισμένο από το AutoIt, αυτή η τεχνική επιτρέπει στο κακόβουλο λογισμικό να αποφεύγει τα παραδοσιακά εργαλεία ανίχνευσης, καθιστώντας πιο δύσκολο για τα συστήματα ασφαλείας να αναγνωρίσουν την απειλή. Επιπλέον, το AutoIt εισάγει δυναμικές συμπεριφορές που μοιάζουν πολύ με νόμιμα εργαλεία αυτοματισμού, περιπλέκοντας περαιτέρω τον εντοπισμό του.

Εδραίωση Εμμονής στο Σύστημα

Μόλις εγκατασταθεί, το Snake Keylogger διασφαλίζει την παραμονή του αντιγράφοντας τον εαυτό του ως αρχείο με το όνομα "ageless.exe" στον κατάλογο "%Local_AppData%\supergroup". Επιπλέον, τοποθετεί ένα δευτερεύον αρχείο που ονομάζεται "ageless.vbs" στον φάκελο εκκίνησης των Windows, το οποίο διασφαλίζει ότι το κακόβουλο λογισμικό επαναφορτώνεται κάθε φορά που γίνεται επανεκκίνηση του συστήματος. Αυτή η μέθοδος επιτρέπει στο keylogger να συνεχίσει τις λειτουργίες του ακόμα και αν η αρχική διαδικασία διακοπεί ή αφαιρεθεί.

Για να αποκρύψει περαιτέρω την παρουσία του, το Snake Keylogger εισάγει το βασικό του ωφέλιμο φορτίο σε μια νόμιμη διαδικασία .NET, όπως το "regsvcs.exe". Αυτή η τεχνική, γνωστή ως διαδικασία hollowing, επιτρέπει σε κακόβουλο λογισμικό να λειτουργεί μέσα σε μια αξιόπιστη διαδικασία συστήματος, καθιστώντας πιο δύσκολο για τις λύσεις ασφαλείας να ανιχνεύσουν και να εξαλείψουν την απειλή.

Οι συνέπειες των δραστηριοτήτων του Snake Keylogger

Μόλις ενσωματωθεί επιτυχώς σε ένα σύστημα, το Snake Keylogger καταγράφει πατήματα πλήκτρων χρησιμοποιώντας μια εξειδικευμένη τεχνική που περιλαμβάνει το SetWindowsHookEx API. Η ρύθμιση της πρώτης παραμέτρου σε WH_KEYBOARD_LL (σημαία 13) επιτρέπει την παρακολούθηση πληκτρολογίου χαμηλού επιπέδου. Αυτό επιτρέπει στους εισβολείς να καταγράφουν ευαίσθητες πληροφορίες χρήστη, συμπεριλαμβανομένων τραπεζικών διαπιστευτηρίων, κωδικών πρόσβασης και προσωπικών μηνυμάτων.

Πέρα από την εγγραφή πατημάτων πλήκτρων, το keylogger έχει επίσης πρόσβαση σε υπηρεσίες Ιστού όπως το checkip.dyndns.org για να προσδιορίσει τη γεωγραφική θέση και τη διεύθυνση IP του παραβιασμένου συστήματος. Αυτά τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για περαιτέρω στόχευση ή για τη βελτίωση άλλων κακόβουλων καμπανιών με βάση την τοποθεσία του θύματος.

Παρόμοιες απειλές με μόχλευση παραπλανητικών τεχνικών

Η εμφάνιση αυτής της παραλλαγής του Snake Keylogger ευθυγραμμίζεται με τις ευρύτερες τάσεις του εγκλήματος στον κυβερνοχώρο όπου κακόβουλοι ηθοποιοί εκμεταλλεύονται προηγμένες τεχνικές σεναρίου για να αποφύγουν τον εντοπισμό. Πρόσφατες έρευνες αποκάλυψαν επίσης ξεχωριστές καμπάνιες που διανέμουν απειλές κλέφτη χρησιμοποιώντας αρχεία συντόμευσης (LNK) μεταμφιεσμένα σε έγγραφα PDF. Αυτά τα αρχεία LNK, που φιλοξενούνται σε παραβιασμένη υποδομή εκπαιδευτικών ιδρυμάτων, εκτελούν εντολές PowerShell για λήψη και εγκατάσταση πρόσθετων απειλών.

Μια άλλη σχετική τεχνική περιλαμβάνει τη χρήση σκοτεινών αρχείων JavaScript για την ανάπτυξη παρόμοιων απειλών. Αυτά τα σενάρια ανακτούν κωδικοποιημένες συμβολοσειρές από υπηρεσίες ανοιχτού κώδικα, οδηγώντας τελικά στην εκτέλεση εντολών PowerShell που κατεβάζουν επιβλαβή ωφέλιμα φορτία. Μερικά από αυτά τα ωφέλιμα φορτία έχουν ενσωματωθεί σε φαινομενικά αβλαβή αρχεία εικόνας με χρήση στεγανογραφικών μεθόδων, γεγονός που καθιστά ακόμη πιο δύσκολο τον εντοπισμό τους.

Μετριασμός των κινδύνων που σχετίζονται με το Snake Keylogger

Δεδομένης της εξελιγμένης φύσης αυτού του keylogger και των τεχνικών αποφυγής του, οι χρήστες θα πρέπει να είναι προσεκτικοί όταν χειρίζονται ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου ή συνημμένα. Οι οργανισμοί θα πρέπει να εφαρμόζουν προηγμένο φιλτράρισμα email για να μπλοκάρουν ύποπτα μηνύματα προτού φτάσουν στους υπαλλήλους. Επιπλέον, οι λύσεις ασφάλειας τελικού σημείου θα πρέπει να ενημερώνονται τακτικά για να αναγνωρίζονται οι νέες στρατηγικές αποφυγής που χρησιμοποιούνται από αυτές τις απειλές.

Καθώς οι επιτιθέμενοι συνεχίζουν να βελτιώνουν τις μεθόδους τους, η συνειδητοποίηση της κυβερνοασφάλειας παραμένει μια κρίσιμη άμυνα. Η κατανόηση του τρόπου λειτουργίας των παραπλανητικών τεχνικών και η διατήρηση της επαγρύπνησης κατά την περιήγηση στο διαδίκτυο ή την πρόσβαση σε email μπορεί να μειώσει σημαντικά τον κίνδυνο τέτοιων απειλών. Παραμένοντας ενήμεροι και υιοθετώντας προληπτικά μέτρα ασφαλείας, τα άτομα και οι επιχειρήσεις μπορούν να προστατεύσουν καλύτερα τις ευαίσθητες πληροφορίες τους από εξελισσόμενους ψηφιακούς κινδύνους.