La variante Snake Keylogger volera toutes les données sensibles
Table of Contents
Un voleur d'informations persistant ciblant les utilisateurs de Windows
Une autre variante de Snake Keylogger a été détectée ciblant activement les utilisateurs Windows dans plusieurs régions, notamment la Chine, la Turquie, l'Indonésie, Taïwan et l'Espagne. Les rapports indiquent que cette version a déjà déclenché plus de 280 millions de tentatives d'infection bloquées dans le monde depuis le début de l'année. Son objectif principal est de capturer les données sensibles des utilisateurs, en particulier les identifiants de connexion, en enregistrant les frappes au clavier, en surveillant l'activité du presse-papiers et en extrayant des informations des navigateurs Web les plus utilisés tels que Chrome, Edge et Firefox.
Comment Snake Keylogger accède aux appareils
La principale méthode de diffusion de ce keylogger consiste à envoyer des e-mails trompeurs contenant des liens ou des pièces jointes malveillantes. Une fois exécuté, le logiciel malveillant s'intègre profondément dans le système pour collecter et transmettre les données volées. Pour ce faire, il utilise le protocole SMTP (Simple Mail Transfer Protocol) et les robots Telegram, ce qui permet aux attaquants de récupérer les informations compromises à distance.
L'une des caractéristiques distinctives de cette dernière vague d'attaques est l'utilisation du langage de script AutoIt . En intégrant sa charge utile dans un binaire compilé par AutoIt, cette technique permet au logiciel malveillant d'échapper aux outils de détection traditionnels, ce qui complique la tâche des systèmes de sécurité pour identifier la menace. De plus, AutoIt introduit des comportements dynamiques qui ressemblent beaucoup à ceux des outils d'automatisation légitimes, ce qui complique encore davantage sa détection.
Établir la persistance sur le système
Une fois installé, Snake Keylogger assure sa persistance en se copiant sous la forme d'un fichier nommé « ageless.exe » dans le répertoire « %Local_AppData%\supergroup ». De plus, il place un fichier secondaire appelé « ageless.vbs » dans le dossier de démarrage de Windows, ce qui garantit que le malware se recharge à chaque redémarrage du système. Cette méthode permet au keylogger de poursuivre ses opérations même si le processus initial est interrompu ou supprimé.
Pour mieux dissimuler sa présence, Snake Keylogger injecte sa charge utile principale dans un processus .NET légitime, tel que « regsvcs.exe ». Cette technique, connue sous le nom de « process Hollowing », permet aux logiciels malveillants d'opérer au sein d'un processus système fiable, ce qui complique la tâche des solutions de sécurité pour détecter et éliminer la menace.
Les implications des activités de Snake Keylogger
Une fois intégré avec succès dans un système, Snake Keylogger capture les frappes au clavier à l'aide d'une technique spécialisée qui implique l'API SetWindowsHookEx. La définition du premier paramètre sur WH_KEYBOARD_LL (indicateur 13) permet une surveillance du clavier de bas niveau. Cela permet aux attaquants d'enregistrer les entrées sensibles des utilisateurs, notamment les informations d'identification bancaires, les mots de passe et les messages privés.
En plus d'enregistrer les frappes au clavier, le keylogger accède également à des services Web comme checkip.dyndns.org pour déterminer l'emplacement géographique et l'adresse IP du système compromis. Ces données pourraient être utilisées pour un ciblage plus poussé ou pour améliorer d'autres campagnes malveillantes en fonction de la localisation de la victime.
Menaces similaires utilisant des techniques trompeuses
L’émergence de cette variante de Snake Keylogger s’inscrit dans le cadre de tendances plus larges en matière de cybercriminalité, où des acteurs malveillants exploitent des techniques de script avancées pour échapper à la détection. Des enquêtes récentes ont également mis au jour des campagnes distinctes qui diffusent des menaces de vol à l’aide de fichiers de raccourci (LNK) déguisés en documents PDF. Ces fichiers LNK, hébergés sur l’infrastructure compromise d’un établissement d’enseignement, exécutent des commandes PowerShell pour télécharger et installer des menaces supplémentaires.
Une autre technique similaire consiste à utiliser des fichiers JavaScript obscurcis pour déployer des menaces similaires. Ces scripts récupèrent des chaînes codées à partir de services open source, ce qui conduit finalement à l'exécution de commandes PowerShell qui téléchargent des charges utiles dangereuses. Certaines de ces charges utiles ont été intégrées dans des fichiers image apparemment inoffensifs à l'aide de méthodes stéganographiques, ce qui les rend encore plus difficiles à détecter.
Atténuer les risques associés à Snake Keylogger
Étant donné la nature sophistiquée de cet enregistreur de frappe et ses techniques d'évasion, les utilisateurs doivent faire preuve de prudence lorsqu'ils manipulent des e-mails ou des pièces jointes non sollicités. Les organisations doivent mettre en œuvre un filtrage avancé des e-mails pour bloquer les messages suspects avant qu'ils n'atteignent les employés. En outre, les solutions de sécurité des terminaux doivent être mises à jour régulièrement pour reconnaître les nouvelles stratégies d'évasion utilisées par ces menaces.
Alors que les pirates continuent d’affiner leurs méthodes, la sensibilisation à la cybersécurité reste une défense essentielle. Comprendre le fonctionnement des techniques de tromperie et rester vigilant lors de la navigation sur Internet ou de l’accès aux e-mails peut réduire considérablement le risque de telles menaces. En restant informés et en adoptant des mesures de sécurité proactives, les particuliers et les entreprises peuvent mieux protéger leurs informations sensibles contre les dangers numériques en constante évolution.
