Snake Keylogger-variant steelt alle gevoelige gegevens

Een hardnekkige informatiedief die Windows-gebruikers als doelwit heeft

Een andere opgekomen variant van Snake Keylogger is gedetecteerd die actief Windows-gebruikers target in meerdere regio's, waaronder China, Turkije, Indonesië, Taiwan en Spanje. Rapporten geven aan dat deze versie wereldwijd al meer dan 280 miljoen geblokkeerde infectiepogingen heeft geactiveerd sinds het begin van het jaar. Het primaire doel is om gevoelige gebruikersgegevens vast te leggen, met name inloggegevens, door toetsaanslagen te registreren, klembordactiviteit te monitoren en informatie te extraheren uit veelgebruikte webbrowsers zoals Chrome, Edge en Firefox.

Hoe Snake Keylogger toegang krijgt tot apparaten

De primaire distributiemethode voor deze keylogger is via misleidende e-mails met schadelijke links of bijlagen. Zodra de schadelijke software is uitgevoerd, nestelt deze zich diep in het systeem om gestolen gegevens te verzamelen en te verzenden. Dit wordt bereikt door gebruik te maken van het Simple Mail Transfer Protocol (SMTP) en Telegram-bots, waardoor aanvallers de gecompromitteerde informatie op afstand kunnen ophalen.

Een onderscheidend kenmerk van deze laatste aanvalsgolf is het gebruik van de AutoIt-scripttaal . Door de payload in een met AutoIt gecompileerd binair bestand te embedden, kan de kwaadaardige software met deze techniek traditionele detectietools omzeilen, waardoor het voor beveiligingssystemen moeilijker wordt om de bedreiging te identificeren. Bovendien introduceert AutoIt dynamisch gedrag dat sterk lijkt op legitieme automatiseringstools, wat de detectie ervan nog ingewikkelder maakt.

Persistentie op het systeem tot stand brengen

Eenmaal geïnstalleerd, zorgt Snake Keylogger voor zijn persistentie door zichzelf te kopiëren als een bestand met de naam "ageless.exe" in de map "%Local_AppData%\supergroup". Bovendien plaatst het een secundair bestand met de naam "ageless.vbs" in de Windows Startup-map, wat ervoor zorgt dat de malware opnieuw wordt geladen telkens wanneer het systeem opnieuw wordt opgestart. Deze methode zorgt ervoor dat de keylogger zijn activiteiten kan voortzetten, zelfs als het oorspronkelijke proces wordt gestopt of verwijderd.

Om zijn aanwezigheid verder te verbergen, injecteert Snake Keylogger zijn kernlading in een legitiem .NET-proces, zoals 'regsvcs.exe'. Deze techniek, ook wel procesuitholling genoemd, zorgt ervoor dat schadelijke software binnen een vertrouwd systeemproces kan opereren, waardoor het voor beveiligingsoplossingen lastiger wordt om de bedreiging te detecteren en te elimineren.

De implicaties van de activiteiten van Snake Keylogger

Zodra Snake Keylogger succesvol is ingebed in een systeem, legt het toetsaanslagen vast met behulp van een gespecialiseerde techniek die de SetWindowsHookEx API gebruikt. Door de eerste parameter in te stellen op WH_KEYBOARD_LL (vlag 13) wordt low-level toetsenbordbewaking mogelijk. Hierdoor kunnen aanvallers gevoelige gebruikersinvoer loggen, waaronder bankgegevens, wachtwoorden en privéberichten.

Naast het registreren van toetsaanslagen, heeft de keylogger ook toegang tot webservices zoals checkip.dyndns.org om de geografische locatie en het IP-adres van het gecompromitteerde systeem te bepalen. Deze gegevens kunnen worden gebruikt voor verdere targeting of om andere kwaadaardige campagnes te verbeteren op basis van de locatie van het slachtoffer.

Vergelijkbare bedreigingen die gebruikmaken van misleidende technieken

De opkomst van deze Snake Keylogger-variant sluit aan bij bredere cybercriminaliteitstrends waarbij kwaadwillende actoren geavanceerde scripttechnieken gebruiken om detectie te ontwijken. Recente onderzoeken hebben ook afzonderlijke campagnes blootgelegd die stealer-bedreigingen verspreiden met behulp van snelkoppelingsbestanden (LNK) die vermomd zijn als PDF-documenten. Deze LNK-bestanden, gehost op gecompromitteerde infrastructuur van onderwijsinstellingen, voeren PowerShell-opdrachten uit om extra bedreigingen te downloaden en installeren.

Een andere verwante techniek omvat het gebruik van verduisterde JavaScript-bestanden om soortgelijke bedreigingen te implementeren. Deze scripts halen gecodeerde strings op van open-sourceservices, wat uiteindelijk leidt tot de uitvoering van PowerShell-opdrachten die schadelijke payloads downloaden. Sommige van deze payloads zijn ingebed in ogenschijnlijk onschuldige afbeeldingsbestanden met behulp van steganografische methoden, waardoor ze nog moeilijker te detecteren zijn.

Het beperken van de risico's die samenhangen met Snake Keylogger

Gezien de geavanceerde aard van deze keylogger en de ontwijkingstechnieken, moeten gebruikers voorzichtig zijn bij het verwerken van ongevraagde e-mails of bijlagen. Organisaties moeten geavanceerde e-mailfiltering implementeren om verdachte berichten te blokkeren voordat ze werknemers bereiken. Bovendien moeten endpoint security-oplossingen regelmatig worden bijgewerkt om nieuwe ontwijkingsstrategieën te herkennen die door deze bedreigingen worden gebruikt.

Terwijl aanvallers hun methoden blijven verfijnen, blijft cybersecuritybewustzijn een cruciale verdediging. Begrijpen hoe misleidende technieken werken en waakzaam blijven tijdens het surfen op internet of het openen van e-mails kan het risico op dergelijke bedreigingen aanzienlijk verminderen. Door op de hoogte te blijven en proactieve beveiligingsmaatregelen te nemen, kunnen individuen en bedrijven hun gevoelige informatie beter beschermen tegen evoluerende digitale gevaren.