Snake Keylogger variantas pavogs visus jautrius duomenis
Table of Contents
Nuolatinis informacijos vagis, skirtas Windows vartotojams
Buvo aptiktas kitas „Snake Keylogger“ variantas, aktyviai nukreiptas į „Windows“ vartotojus keliuose regionuose, įskaitant Kiniją, Turkiją, Indoneziją, Taivaną ir Ispaniją. Ataskaitos rodo, kad nuo metų pradžios ši versija jau sukėlė daugiau nei 280 milijonų užblokuotų užsikrėtimo bandymų visame pasaulyje. Pagrindinis jos tikslas yra užfiksuoti jautrius vartotojo duomenis, ypač prisijungimo duomenis, registruojant klavišų paspaudimus, stebint iškarpinės veiklą ir ištraukiant informaciją iš plačiai naudojamų žiniatinklio naršyklių, tokių kaip Chrome, Edge ir Firefox.
Kaip „Snake Keylogger“ gauna prieigą prie įrenginių
Pagrindinis šio klavišų kaupiklio platinimo būdas yra apgaulingi el. laiškai, kuriuose yra kenkėjiškų nuorodų arba priedų. Įvykdžius kenkėjišką programinę įrangą, ji įsiterpia giliai į sistemą, kad rinktų ir perduotų pavogtus duomenis. Tai pasiekiama naudojant paprastą pašto perdavimo protokolą (SMTP) ir „Telegram“ robotus, leidžiančius užpuolikams nuotoliniu būdu nuskaityti pažeistą informaciją.
Išskirtinis šios naujausios atakų bangos bruožas yra AutoIt skriptų kalbos naudojimas. Įterpiant naudingąją apkrovą į „AutoIt“ sudarytą dvejetainį failą, ši technika leidžia kenkėjiškajai programinei įrangai išvengti tradicinių aptikimo įrankių, todėl apsaugos sistemoms sunkiau nustatyti grėsmę. Be to, „AutoIt“ pristato dinamines elgsenas, kurios labai panašios į teisėtus automatizavimo įrankius, dar labiau apsunkindamos jos aptikimą.
Sistemos patvarumo nustatymas
Įdiegęs „Snake Keylogger“ užtikrina jo išlikimą, nukopijuodamas save kaip failą pavadinimu „ageless.exe“ kataloge „%Local_AppData%\supergroup“. Be to, „Windows“ paleisties aplanke įdedamas antrinis failas, vadinamas „ageless.vbs“, kuris užtikrina, kad kenkėjiška programa būtų įkeliama iš naujo kiekvieną kartą, kai sistema paleidžiama iš naujo. Šis metodas leidžia klavišų kaupikliui tęsti savo veiklą, net jei pradinis procesas yra sustabdytas arba pašalintas.
Siekdama dar labiau nuslėpti savo buvimą, „Snake Keylogger“ įveda savo pagrindinę naudingąją apkrovą į teisėtą .NET procesą, pvz., „regsvcs.exe“. Šis metodas, žinomas kaip proceso tuščiaviduris, leidžia kenkėjiškai programinei įrangai veikti patikimame sistemos procese, todėl saugos sprendimams sunkiau aptikti ir pašalinti grėsmę.
„Snake Keylogger“ veiklos pasekmės
Sėkmingai įterptas į sistemą, Snake Keylogger užfiksuoja klavišų paspaudimus naudodamas specializuotą techniką, apimančią SetWindowsHookEx API. Pirmąjį parametrą nustačius į WH_KEYBOARD_LL (13 vėliavėlė), įgalinamas žemo lygio klaviatūros stebėjimas. Tai leidžia užpuolikams registruoti slaptą vartotojo įvestį, įskaitant banko kredencialus, slaptažodžius ir asmeninius pranešimus.
Be klavišų paspaudimų įrašymo, klavišų registratorius taip pat pasiekia žiniatinklio paslaugas, pvz., checkip.dyndns.org, kad nustatytų pažeistos sistemos geografinę vietą ir IP adresą. Šie duomenys gali būti naudojami tolesniam taikymui arba kitoms kenkėjiškoms kampanijoms, atsižvelgiant į aukos vietą, patobulinti.
Panašios grėsmės, naudojant apgaulingus metodus
Šio „Snake Keylogger“ varianto atsiradimas suderinamas su platesnėmis elektroninių nusikaltimų tendencijomis, kai piktybiniai veikėjai naudoja pažangias scenarijų sudarymo technologijas, kad išvengtų aptikimo. Neseniai atlikti tyrimai taip pat atskleidė atskiras kampanijas, kurios platina vagystės grėsmes naudojant nuorodų (LNK) failus, užmaskuotus kaip PDF dokumentai. Šie LNK failai, talpinami pažeistoje švietimo įstaigų infrastruktūroje, vykdo „PowerShell“ komandas, kad būtų galima atsisiųsti ir įdiegti papildomas grėsmes.
Kitas susijęs metodas apima užmaskuotų „JavaScript“ failų naudojimą panašioms grėsmėms įdiegti. Šie scenarijai nuskaito užkoduotas eilutes iš atvirojo kodo paslaugų, todėl galiausiai vykdomos „PowerShell“ komandos, kurios atsisiunčia žalingus naudingus krovinius. Kai kurie iš šių naudingų krovinių buvo įterpti į iš pažiūros nekenksmingus vaizdo failus naudojant steganografinius metodus, todėl juos dar sunkiau aptikti.
Rizikos, susijusios su Snake Keylogger, mažinimas
Atsižvelgiant į sudėtingą šio klavišų kaupiklio prigimtį ir jo vengimo būdus, naudotojai turėtų būti atsargūs tvarkydami nepageidaujamus el. laiškus ar priedus. Organizacijos turėtų įdiegti išplėstinį el. pašto filtravimą, kad užblokuotų įtartinus pranešimus prieš jiems pasiekiant darbuotojus. Be to, galinių taškų saugos sprendimai turėtų būti reguliariai atnaujinami, kad būtų atpažįstamos naujos šių grėsmių naudojamos vengimo strategijos.
Užpuolikams ir toliau tobulinant savo metodus, kibernetinio saugumo supratimas išlieka svarbia apsauga. Supratus, kaip veikia apgaulingi metodai, ir išlaikant budrumą naršant internete ar pasiekiant el. laiškus, tokių grėsmių rizika gali žymiai sumažėti. Būdami informuoti ir imdamiesi aktyvių saugumo priemonių, asmenys ir įmonės gali geriau apsaugoti savo slaptą informaciją nuo besivystančių skaitmeninių pavojų.
