Snakeキーロガーの亜種が機密データをすべて盗む
Table of Contents
Windows ユーザーを狙う永続的な情報窃盗マルウェア
Snake Keylogger の新たな亜種が、中国、トルコ、インドネシア、台湾、スペインなど複数の地域で Windows ユーザーを積極的にターゲットにしていることが検知されました。報告によると、このバージョンは今年に入ってからすでに世界中で 2 億 8,000 万件以上の感染試行をブロックしています。主な目的は、キー入力を記録し、クリップボードのアクティビティを監視し、Chrome、Edge、Firefox などの広く使用されている Web ブラウザーから情報を抽出することで、ユーザーの機密データ、特にログイン認証情報を取得することです。
Snake キーロガーがデバイスにアクセスする方法
このキーロガーの主な配布方法は、悪意のあるリンクや添付ファイルを含む偽の電子メールです。実行されると、悪意のあるソフトウェアはシステムの奥深くに埋め込まれ、盗んだデータを収集して送信します。これは、Simple Mail Transfer Protocol (SMTP) と Telegram ボットを利用して実現され、攻撃者は侵害された情報をリモートから取得できます。
この最新の攻撃の特徴は、AutoIt スクリプト言語の使用です。この手法では、AutoIt でコンパイルされたバイナリ内にペイロードを埋め込むことで、悪意のあるソフトウェアが従来の検出ツールを回避し、セキュリティ システムによる脅威の特定を困難にします。さらに、AutoIt は正規の自動化ツールによく似た動的な動作を導入するため、検出がさらに困難になります。
システム上での永続性の確立
Snake Keylogger はインストールされると、"%Local_AppData%\supergroup" ディレクトリ内に "ageless.exe" というファイルとして自身をコピーすることで、永続性を確保します。さらに、Windows スタートアップ フォルダに "ageless.vbs" という 2 番目のファイルを配置することで、システムが再起動されるたびにマルウェアが再ロードされるようにします。この方法により、最初のプロセスが停止または削除されても、キーロガーは動作を継続できます。
Snake Keylogger は、その存在をさらに隠蔽するために、コア ペイロードを「regsvcs.exe」などの正当な .NET プロセスに挿入します。プロセス ハロウイングと呼ばれるこの手法により、悪意のあるソフトウェアが信頼できるシステム プロセス内で動作できるようになり、セキュリティ ソリューションによる脅威の検出と排除がさらに困難になります。
Snake Keylogger の活動が意味するもの
システムに埋め込まれると、Snake Keylogger は SetWindowsHookEx API を使用する特殊な手法を使用してキーストロークをキャプチャします。最初のパラメータを WH_KEYBOARD_LL (フラグ 13) に設定すると、低レベルのキーボード監視が有効になります。これにより、攻撃者は銀行の認証情報、パスワード、プライベート メッセージなど、機密性の高いユーザー入力をログに記録できます。
キーロガーは、キーストロークを記録するだけでなく、checkip.dyndns.org などの Web サービスにアクセスして、侵害されたシステムの地理的位置と IP アドレスを特定します。このデータは、被害者の所在地に基づいて、さらにターゲットを絞ったり、他の悪意のあるキャンペーンを強化したりするために使用される可能性があります。
欺瞞的な手法を利用した同様の脅威
Snake Keylogger のこの亜種の出現は、悪意のある攻撃者が高度なスクリプト技術を悪用して検出を回避するという、より広範なサイバー犯罪の傾向と一致しています。最近の調査では、PDF ドキュメントに偽装したショートカット (LNK) ファイルを使用して、スティーラーの脅威を配布する別のキャンペーンも発見されました。侵害された教育機関のインフラストラクチャでホストされているこれらの LNK ファイルは、PowerShell コマンドを実行して、追加の脅威をダウンロードしてインストールします。
関連するもう 1 つの手法は、難読化された JavaScript ファイルを使用して同様の脅威を展開することです。これらのスクリプトは、オープン ソース サービスからエンコードされた文字列を取得し、最終的に有害なペイロードをダウンロードする PowerShell コマンドを実行します。これらのペイロードの一部は、ステガノグラフィ手法を使用して一見無害な画像ファイルに埋め込まれているため、検出がさらに困難になっています。
Snake キーロガーに関連するリスクを軽減する
このキーロガーとその回避技術は高度であるため、ユーザーは迷惑メールや添付ファイルを扱う際には注意が必要です。組織は高度なメール フィルタリングを実装して、疑わしいメッセージが従業員に届く前にブロックする必要があります。さらに、エンドポイント セキュリティ ソリューションを定期的に更新して、これらの脅威が使用する新しい回避戦略を認識する必要があります。
攻撃者がその手法を改良し続ける中、サイバーセキュリティの意識は依然として重要な防御手段です。欺瞞的な手法の仕組みを理解し、インターネットを閲覧したりメールにアクセスしたりする際に警戒を怠らないようにすることで、このような脅威のリスクを大幅に軽減できます。情報を入手し、積極的なセキュリティ対策を講じることで、個人や企業は進化するデジタルの危険から機密情報をより適切に保護できます。
