La variante di Snake Keylogger ruberà tutti i dati sensibili
Table of Contents
Un ladro di informazioni persistente che prende di mira gli utenti Windows
Un'altra variante emersa di Snake Keylogger è stata rilevata mentre prende di mira attivamente gli utenti Windows in più regioni, tra cui Cina, Turchia, Indonesia, Taiwan e Spagna. I report indicano che questa versione ha già attivato oltre 280 milioni di tentativi di infezione bloccati a livello globale dall'inizio dell'anno. Il suo obiettivo principale è catturare dati sensibili degli utenti, in particolare le credenziali di accesso, registrando le sequenze di tasti, monitorando l'attività degli appunti ed estraendo informazioni da browser Web ampiamente utilizzati come Chrome, Edge e Firefox.
Come Snake Keylogger ottiene l'accesso ai dispositivi
Il metodo principale di distribuzione di questo keylogger è tramite e-mail ingannevoli che contengono link o allegati dannosi. Una volta eseguito, il software dannoso si insinua in profondità nel sistema per raccogliere e trasmettere dati rubati. Ciò si ottiene sfruttando il Simple Mail Transfer Protocol (SMTP) e i bot di Telegram, consentendo agli aggressori di recuperare le informazioni compromesse da remoto.
Una caratteristica distintiva di questa ultima ondata di attacchi è l'uso del linguaggio di scripting AutoIt . Incorporando il suo payload in un binario compilato da AutoIt, questa tecnica consente al software dannoso di evitare gli strumenti di rilevamento tradizionali, rendendo più difficile per i sistemi di sicurezza identificare la minaccia. Inoltre, AutoIt introduce comportamenti dinamici che assomigliano molto agli strumenti di automazione legittimi, complicandone ulteriormente il rilevamento.
Stabilire la persistenza sul sistema
Una volta installato, Snake Keylogger assicura la sua persistenza copiandosi come un file denominato "ageless.exe" all'interno della directory "%Local_AppData%\supergroup". Inoltre, posiziona un file secondario denominato "ageless.vbs" nella cartella di avvio di Windows, il che assicura che il malware si ricarichi ogni volta che il sistema viene riavviato. Questo metodo consente al keylogger di continuare le sue operazioni anche se il processo iniziale viene interrotto o rimosso.
Per nascondere ulteriormente la propria presenza, Snake Keylogger inietta il suo payload principale in un processo .NET legittimo, come "regsvcs.exe". Questa tecnica, nota come process hollowing, consente al software dannoso di operare all'interno di un processo di sistema attendibile, rendendo più difficile per le soluzioni di sicurezza rilevare ed eliminare la minaccia.
Le implicazioni delle attività di Snake Keylogger
Una volta incorporato con successo in un sistema, Snake Keylogger cattura le sequenze di tasti utilizzando una tecnica specializzata che coinvolge l'API SetWindowsHookEx. Impostando il primo parametro su WH_KEYBOARD_LL (flag 13) si abilita il monitoraggio della tastiera di basso livello. Ciò consente agli aggressori di registrare input utente sensibili, tra cui credenziali bancarie, password e messaggi privati.
Oltre a registrare le sequenze di tasti, il keylogger accede anche a servizi web come checkip.dyndns.org per determinare la posizione geografica e l'indirizzo IP del sistema compromesso. Questi dati potrebbero essere utilizzati per ulteriori targeting o per potenziare altre campagne dannose basate sulla posizione della vittima.
Minacce simili che sfruttano tecniche ingannevoli
L'emergere di questa variante di Snake Keylogger è in linea con le tendenze più ampie della criminalità informatica in cui gli attori malintenzionati sfruttano tecniche di scripting avanzate per eludere il rilevamento. Indagini recenti hanno anche scoperto campagne separate che distribuiscono minacce stealer utilizzando file di scelta rapida (LNK) camuffati da documenti PDF. Questi file LNK, ospitati su infrastrutture di istituti scolastici compromessi, eseguono comandi PowerShell per scaricare e installare minacce aggiuntive.
Un'altra tecnica correlata prevede l'utilizzo di file JavaScript offuscati per distribuire minacce simili. Questi script recuperano stringhe codificate da servizi open source, portando infine all'esecuzione di comandi PowerShell che scaricano payload dannosi. Alcuni di questi payload sono stati incorporati in file di immagini apparentemente innocui utilizzando metodi steganografici, rendendoli ancora più difficili da rilevare.
Attenuazione dei rischi associati a Snake Keylogger
Data la natura sofisticata di questo keylogger e delle sue tecniche di evasione, gli utenti dovrebbero prestare attenzione quando gestiscono e-mail o allegati indesiderati. Le organizzazioni dovrebbero implementare un filtro e-mail avanzato per bloccare i messaggi sospetti prima che raggiungano i dipendenti. Inoltre, le soluzioni di sicurezza degli endpoint dovrebbero essere aggiornate regolarmente per riconoscere le nuove strategie di evasione utilizzate da queste minacce.
Mentre gli aggressori continuano a perfezionare i loro metodi, la consapevolezza della sicurezza informatica rimane una difesa critica. Comprendere come funzionano le tecniche ingannevoli e mantenere la vigilanza durante la navigazione in Internet o l'accesso alle e-mail può ridurre significativamente il rischio di tali minacce. Restando informati e adottando misure di sicurezza proattive, individui e aziende possono proteggere meglio le proprie informazioni sensibili dai pericoli digitali in continua evoluzione.
