A Snake Keylogger Variant ellopja az összes érzékeny adatot

A Windows-felhasználókat célzó állandó információlopó

A Snake Keylogger egy másik változatát észlelték, amely aktívan célozza meg a Windows-felhasználókat több régióban, köztük Kínában, Törökországban, Indonéziában, Tajvanon és Spanyolországban. A jelentések szerint ez a verzió már több mint 280 millió blokkolt fertőzési kísérletet váltott ki világszerte az év eleje óta. Elsődleges célja az érzékeny felhasználói adatok, különösen a bejelentkezési adatok rögzítése a billentyűleütések naplózásával, a vágólap tevékenységének figyelésével és információk kinyerésével a széles körben használt webböngészőkből, például a Chrome, az Edge és a Firefoxból.

Hogyan jut hozzá a Snake Keylogger az eszközökhöz

A keylogger elsődleges terjesztési módja a megtévesztő e-mailek, amelyek rosszindulatú hivatkozásokat vagy mellékleteket tartalmaznak. A végrehajtás után a rosszindulatú szoftver mélyen beágyazódik a rendszerbe, hogy összegyűjtse és továbbítsa a lopott adatokat. Ezt a Simple Mail Transfer Protocol (SMTP) és a Telegram robotok kihasználásával érik el, lehetővé téve a támadók számára, hogy távolról is lekérjék a feltört információkat.

A legújabb támadási hullám megkülönböztető jellemzője az AutoIt szkriptnyelv használata. Ez a technika az AutoIt által lefordított bináris fájlba ágyazva lehetővé teszi a rosszindulatú szoftverek számára, hogy elkerüljék a hagyományos észlelési eszközöket, ami megnehezíti a biztonsági rendszerek számára a fenyegetés azonosítását. Ezenkívül az AutoIt olyan dinamikus viselkedéseket mutat be, amelyek nagyon hasonlítanak a legitim automatizálási eszközökhöz, tovább bonyolítva az észlelést.

Perzisztencia kialakítása a rendszeren

A telepítést követően a Snake Keylogger biztosítja a tartósságát azáltal, hogy „ageless.exe” nevű fájlként másolja magát a „%Local_AppData%\supergroup” könyvtárba. Ezenkívül elhelyez egy „ageless.vbs” nevű másodlagos fájlt a Windows Startup mappájában, amely biztosítja, hogy a rosszindulatú program minden alkalommal újratöltődjön a rendszer újraindításakor. Ez a módszer lehetővé teszi a keylogger számára, hogy akkor is folytassa működését, ha a kezdeti folyamatot leállítják vagy eltávolítják.

Jelenlétének további elrejtése érdekében a Snake Keylogger az alapvető hasznos terhelést egy legitim .NET-folyamatba, például a „regsvcs.exe”-be illeszti. Ez a folyamatüresedésnek nevezett technika lehetővé teszi a rosszindulatú szoftverek számára, hogy megbízható rendszerfolyamatokon belül működjenek, így nagyobb kihívást jelent a biztonsági megoldások számára a fenyegetés észlelése és megszüntetése.

A Snake Keylogger tevékenységének következményei

Miután sikeresen beágyazódott egy rendszerbe, a Snake Keylogger egy speciális technikával rögzíti a billentyűleütéseket, amely magában foglalja a SetWindowsHookEx API-t. Az első paraméter WH_KEYBOARD_LL értékre állítása (13-as jelző) lehetővé teszi az alacsony szintű billentyűzetfigyelést. Ez lehetővé teszi a támadók számára, hogy bizalmas felhasználói adatokat naplózzanak, beleértve a banki hitelesítési adatokat, jelszavakat és privát üzeneteket.

A billentyűleütések rögzítésén túl a keylogger olyan webszolgáltatásokhoz is hozzáfér, mint a checkip.dyndns.org, hogy meghatározza a feltört rendszer földrajzi helyét és IP-címét. Ezek az adatok felhasználhatók további célzásra vagy más rosszindulatú kampányok fokozására az áldozat tartózkodási helye alapján.

Hasonló fenyegetések megtévesztő technikákat alkalmazva

Ennek a Snake Keylogger-változatnak a megjelenése igazodik a szélesebb körű kiberbűnözési trendekhez, ahol a rosszindulatú szereplők fejlett script-technikákat használnak fel az észlelés elkerülésére. A közelmúltban végzett vizsgálatok külön kampányokat is feltártak, amelyek PDF-dokumentumnak álcázott parancsikon (LNK) fájlokkal terjesztik a tolvajokat. Ezek a veszélyeztetett oktatási intézményi infrastruktúrán tárolt LNK-fájlok PowerShell-parancsokat hajtanak végre további fenyegetések letöltéséhez és telepítéséhez.

Egy másik kapcsolódó technika az obfuszkált JavaScript-fájlok használata hasonló fenyegetések telepítéséhez. Ezek a szkriptek kódolt karakterláncokat kérnek le a nyílt forráskódú szolgáltatásokból, ami végül a káros hasznos terheket letöltő PowerShell-parancsok végrehajtásához vezet. Néhány ilyen hasznos adatot látszólag ártalmatlan képfájlokba ágyaztak be szteganográfiai módszerekkel, így még nehezebb észlelni őket.

A Snake Keyloggerrel kapcsolatos kockázatok csökkentése

A keylogger kifinomult természetére és kijátszási technikáira tekintettel a felhasználóknak óvatosnak kell lenniük a kéretlen e-mailek vagy mellékletek kezelésekor. A szervezeteknek fejlett e-mail-szűrést kell bevezetniük, hogy blokkolják a gyanús üzeneteket, mielőtt azok eljutnának az alkalmazottakhoz. Ezenkívül a végpontok biztonsági megoldásait rendszeresen frissíteni kell, hogy felismerjék a fenyegetések által használt új kijátszási stratégiákat.

Ahogy a támadók tovább finomítják módszereiket, a kiberbiztonsági tudatosság továbbra is kritikus védelem marad. A megtévesztő technikák működésének megértése és az éberség fenntartása internetböngészés vagy e-mailek elérése közben jelentősen csökkentheti az ilyen fenyegetések kockázatát. Azáltal, hogy folyamatosan tájékozottak maradnak és proaktív biztonsági intézkedéseket fogadnak el, az egyének és a vállalkozások jobban megvédhetik kényes adataikat a digitális veszélyekkel szemben.