Snake Keylogger-variant vil stjele alle sensitive data
Table of Contents
En vedvarende informasjonstyver som retter seg mot Windows-brukere
En annen dukket opp variant av Snake Keylogger har blitt oppdaget som aktivt retter seg mot Windows-brukere i flere regioner, inkludert Kina, Tyrkia, Indonesia, Taiwan og Spania. Rapporter indikerer at denne versjonen allerede har utløst over 280 millioner blokkerte infeksjonsforsøk globalt siden begynnelsen av året. Dens primære mål er å fange opp sensitive brukerdata, spesielt påloggingsinformasjon, ved å logge tastetrykk, overvåke utklippstavleaktivitet og trekke ut informasjon fra mye brukte nettlesere som Chrome, Edge og Firefox.
Hvordan Snake Keylogger får tilgang til enheter
Den primære distribusjonsmetoden for denne keyloggeren er gjennom villedende e-poster med ondsinnede lenker eller vedlegg. Når den er utført, bygger den skadelige programvaren seg dypt inn i systemet for å samle inn og overføre stjålne data. Dette oppnås ved å utnytte Simple Mail Transfer Protocol (SMTP) og Telegram-roboter, slik at angripere kan hente den kompromitterte informasjonen eksternt.
Et kjennetegn ved denne siste bølgen av angrep er bruken av AutoIt-skriptspråket . Ved å bygge inn nyttelasten i en AutoIt-kompilert binær, gjør denne teknikken det mulig for den skadelige programvaren å unngå tradisjonelle deteksjonsverktøy, noe som gjør det vanskeligere for sikkerhetssystemer å identifisere trusselen. I tillegg introduserer AutoIt dynamisk atferd som ligner på legitime automatiseringsverktøy, noe som kompliserer gjenkjenningen ytterligere.
Etablere utholdenhet på systemet
Når den er installert, sikrer Snake Keylogger utholdenhet ved å kopiere seg selv som en fil kalt "ageless.exe" i katalogen "%Local_AppData%\supergroup". Videre plasserer den en sekundær fil kalt "ageless.vbs" i Windows Startup-mappen, som sikrer at skadelig programvare lastes inn på nytt hver gang systemet startes på nytt. Denne metoden lar keyloggeren fortsette driften selv om den første prosessen stoppes eller fjernes.
For ytterligere å skjule sin tilstedeværelse, injiserer Snake Keylogger sin kjernenyttelast i en legitim .NET-prosess, for eksempel "regsvcs.exe." Denne teknikken, kjent som prosessuthuling, gjør at skadelig programvare kan operere innenfor en pålitelig systemprosess, noe som gjør det mer utfordrende for sikkerhetsløsninger å oppdage og eliminere trusselen.
Implikasjonene av Snake Keyloggers aktiviteter
Når den er vellykket innebygd i et system, fanger Snake Keylogger opp tastetrykk ved hjelp av en spesialisert teknikk som involverer SetWindowsHookEx API. Å sette den første parameteren til WH_KEYBOARD_LL (flagg 13) aktiverer lavnivåtastaturovervåking. Dette lar angripere logge sensitive brukerinndata, inkludert banklegitimasjon, passord og private meldinger.
Utover å registrere tastetrykk, får tasteloggeren også tilgang til nettjenester som checkip.dyndns.org for å bestemme den geografiske plasseringen og IP-adressen til det kompromitterte systemet. Disse dataene kan brukes til ytterligere målretting eller for å forbedre andre ondsinnede kampanjer basert på offerets plassering.
Lignende trusler utnytter villedende teknikker
Fremveksten av denne Snake Keylogger-varianten er i tråd med bredere nettkriminalitetstrender der ondsinnede aktører utnytter avanserte skriptteknikker for å unngå oppdagelse. Nylige undersøkelser har også avdekket separate kampanjer som distribuerer tyveretrusler ved å bruke snarveisfiler (LNK) forkledd som PDF-dokumenter. Disse LNK-filene, som ligger på kompromittert infrastruktur for utdanningsinstitusjoner, utfører PowerShell-kommandoer for å laste ned og installere flere trusler.
En annen relatert teknikk innebærer å bruke skjulte JavaScript-filer for å distribuere lignende trusler. Disse skriptene henter kodede strenger fra åpen kildekodetjenester, noe som til slutt fører til utførelse av PowerShell-kommandoer som laster ned skadelige nyttelaster. Noen av disse nyttelastene har blitt innebygd i tilsynelatende ufarlige bildefiler ved hjelp av steganografiske metoder, noe som gjør dem enda vanskeligere å oppdage.
Redusere risikoene forbundet med Snake Keylogger
Gitt den sofistikerte karakteren til denne keyloggeren og dens unnvikelsesteknikker, bør brukere utvise forsiktighet når de håndterer uønskede e-poster eller vedlegg. Organisasjoner bør implementere avansert e-postfiltrering for å blokkere mistenkelige meldinger før de når ansatte. I tillegg bør endepunktsikkerhetsløsninger oppdateres regelmessig for å gjenkjenne nye unnvikelsesstrategier som brukes av disse truslene.
Ettersom angripere fortsetter å avgrense metodene sine, forblir cybersikkerhetsbevissthet et kritisk forsvar. Å forstå hvordan villedende teknikker fungerer og opprettholde årvåkenhet mens du surfer på internett eller får tilgang til e-poster, kan redusere risikoen for slike trusler betydelig. Ved å holde seg informert og vedta proaktive sikkerhetstiltak, kan enkeltpersoner og bedrifter bedre beskytte sin sensitive informasjon mot nye digitale farer.
