La variante del keylogger Snake robará todos los datos confidenciales
Table of Contents
Un ladrón de información persistente que ataca a los usuarios de Windows
Se ha detectado otra variante de Snake Keylogger que ataca activamente a usuarios de Windows en varias regiones, incluidas China, Turquía, Indonesia, Taiwán y España. Los informes indican que esta versión ya ha provocado más de 280 millones de intentos de infección bloqueados en todo el mundo desde principios de año. Su objetivo principal es capturar datos confidenciales de los usuarios, en particular las credenciales de inicio de sesión, mediante el registro de las pulsaciones de teclas, el seguimiento de la actividad del portapapeles y la extracción de información de los navegadores web más utilizados, como Chrome, Edge y Firefox.
Cómo el keylogger Snake obtiene acceso a los dispositivos
El principal método de distribución de este keylogger es a través de correos electrónicos engañosos que contienen enlaces o archivos adjuntos maliciosos. Una vez ejecutado, el software malicioso se incrusta en las profundidades del sistema para recopilar y transmitir datos robados. Esto se logra aprovechando el Protocolo simple de transferencia de correo (SMTP) y los bots de Telegram, lo que permite a los atacantes recuperar la información comprometida de forma remota.
Una característica distintiva de esta última ola de ataques es el uso del lenguaje de programación AutoIt . Al incorporar su carga útil dentro de un binario compilado por AutoIt, esta técnica permite que el software malicioso evite las herramientas de detección tradicionales, lo que dificulta que los sistemas de seguridad identifiquen la amenaza. Además, AutoIt introduce comportamientos dinámicos que se parecen mucho a las herramientas de automatización legítimas, lo que complica aún más su detección.
Establecer la persistencia en el sistema
Una vez instalado, Snake Keylogger asegura su persistencia copiándose a sí mismo como un archivo llamado "ageless.exe" dentro del directorio "%Local_AppData%\supergroup". Además, coloca un archivo secundario llamado "ageless.vbs" en la carpeta de inicio de Windows, lo que garantiza que el malware se vuelva a cargar cada vez que se reinicia el sistema. Este método permite que el keylogger continúe con sus operaciones incluso si el proceso inicial se detiene o se elimina.
Para ocultar aún más su presencia, Snake Keylogger inyecta su carga útil principal en un proceso .NET legítimo, como "regsvcs.exe". Esta técnica, conocida como "vaciado de procesos", permite que el software malicioso opere dentro de un proceso de sistema confiable, lo que dificulta que las soluciones de seguridad detecten y eliminen la amenaza.
Las implicaciones de las actividades de Snake Keylogger
Una vez que se integra correctamente en un sistema, Snake Keylogger captura las pulsaciones de teclas mediante una técnica especializada que involucra la API SetWindowsHookEx. Si se establece el primer parámetro en WH_KEYBOARD_LL (indicador 13), se habilita el monitoreo de bajo nivel del teclado. Esto permite a los atacantes registrar la entrada confidencial del usuario, incluidas las credenciales bancarias, las contraseñas y los mensajes privados.
Además de registrar las pulsaciones de teclas, el keylogger también accede a servicios web como checkip.dyndns.org para determinar la ubicación geográfica y la dirección IP del sistema afectado. Estos datos podrían utilizarse para realizar ataques dirigidos a objetivos específicos o para mejorar otras campañas maliciosas basadas en la ubicación de la víctima.
Amenazas similares que aprovechan técnicas engañosas
La aparición de esta variante de Snake Keylogger coincide con tendencias más amplias de delitos cibernéticos en las que los actores maliciosos explotan técnicas avanzadas de scripting para evadir la detección. Investigaciones recientes también han descubierto campañas independientes que distribuyen amenazas de robo de claves mediante archivos de acceso directo (LNK) camuflados en documentos PDF. Estos archivos LNK, alojados en la infraestructura de una institución educativa comprometida, ejecutan comandos de PowerShell para descargar e instalar amenazas adicionales.
Otra técnica relacionada implica el uso de archivos JavaScript ofuscados para implementar amenazas similares. Estos scripts recuperan cadenas codificadas de servicios de código abierto, lo que en última instancia conduce a la ejecución de comandos de PowerShell que descargan cargas útiles dañinas. Algunas de estas cargas útiles se han incorporado en archivos de imágenes aparentemente inofensivos mediante métodos esteganográficos, lo que las hace aún más difíciles de detectar.
Mitigación de los riesgos asociados con el keylogger Snake
Dada la naturaleza sofisticada de este keylogger y sus técnicas de evasión, los usuarios deben tener cuidado al manipular correos electrónicos o archivos adjuntos no solicitados. Las organizaciones deben implementar un filtrado de correo electrónico avanzado para bloquear los mensajes sospechosos antes de que lleguen a los empleados. Además, las soluciones de seguridad de endpoints deben actualizarse periódicamente para reconocer las nuevas estrategias de evasión utilizadas por estas amenazas.
A medida que los atacantes siguen perfeccionando sus métodos, la concienciación sobre la ciberseguridad sigue siendo una defensa fundamental. Comprender cómo funcionan las técnicas engañosas y mantenerse alerta mientras se navega por Internet o se accede a correos electrónicos puede reducir significativamente el riesgo de este tipo de amenazas. Al mantenerse informados y adoptar medidas de seguridad proactivas, las personas y las empresas pueden proteger mejor su información confidencial frente a los peligros digitales en constante evolución.
