Wariant Keyloggera Snake'a ukradnie wszystkie poufne dane
Table of Contents
Uporczywy złodziej informacji atakujący użytkowników systemu Windows
Inna nowa odmiana Snake Keylogger została wykryta aktywnie atakując użytkowników Windows w wielu regionach, w tym w Chinach, Turcji, Indonezji, Tajwanie i Hiszpanii. Raporty wskazują, że ta wersja wywołała już ponad 280 milionów zablokowanych prób infekcji na całym świecie od początku roku. Jej głównym celem jest przechwytywanie poufnych danych użytkownika, w szczególności danych logowania, poprzez rejestrowanie naciśnięć klawiszy, monitorowanie aktywności schowka i wyodrębnianie informacji z powszechnie używanych przeglądarek internetowych, takich jak Chrome, Edge i Firefox.
Jak Snake Keylogger uzyskuje dostęp do urządzeń
Podstawową metodą dystrybucji tego keyloggera są oszukańcze wiadomości e-mail zawierające złośliwe linki lub załączniki. Po uruchomieniu złośliwe oprogramowanie osadza się głęboko w systemie, aby zbierać i przesyłać skradzione dane. Osiąga się to poprzez wykorzystanie protokołu Simple Mail Transfer Protocol (SMTP) i botów Telegram, umożliwiając atakującym zdalne pobieranie naruszonych informacji.
Cechą charakterystyczną tej ostatniej fali ataków jest użycie języka skryptowego AutoIt . Dzięki osadzeniu ładunku w skompilowanym pliku binarnym AutoIt, technika ta umożliwia złośliwemu oprogramowaniu unikanie tradycyjnych narzędzi wykrywania, co utrudnia systemom bezpieczeństwa identyfikację zagrożenia. Ponadto AutoIt wprowadza dynamiczne zachowania, które ściśle przypominają legalne narzędzia automatyzacji, co jeszcze bardziej komplikuje jego wykrywanie.
Ustanawianie trwałości w systemie
Po zainstalowaniu Snake Keylogger zapewnia swoją trwałość, kopiując siebie jako plik o nazwie „ageless.exe” w katalogu „%Local_AppData%\supergroup”. Ponadto umieszcza dodatkowy plik o nazwie „ageless.vbs” w folderze Startup systemu Windows, co zapewnia, że złośliwe oprogramowanie zostanie ponownie załadowane przy każdym ponownym uruchomieniu systemu. Ta metoda pozwala keyloggerowi kontynuować działanie, nawet jeśli początkowy proces zostanie zatrzymany lub usunięty.
Aby jeszcze bardziej ukryć swoją obecność, Snake Keylogger wstrzykuje swój główny ładunek do legalnego procesu .NET, takiego jak „regsvcs.exe”. Ta technika, znana jako „process hollowing”, umożliwia złośliwemu oprogramowaniu działanie w zaufanym procesie systemowym, co utrudnia rozwiązaniom zabezpieczającym wykrywanie i eliminowanie zagrożenia.
Konsekwencje działań Snake Keyloggera
Po pomyślnym osadzeniu w systemie Snake Keylogger przechwytuje naciśnięcia klawiszy za pomocą specjalistycznej techniki, która obejmuje API SetWindowsHookEx. Ustawienie pierwszego parametru na WH_KEYBOARD_LL (flaga 13) umożliwia monitorowanie klawiatury na niskim poziomie. Umożliwia to atakującym rejestrowanie poufnych danych wprowadzanych przez użytkownika, w tym danych uwierzytelniających bankowość, haseł i prywatnych wiadomości.
Oprócz rejestrowania uderzeń klawiszy, keylogger uzyskuje również dostęp do usług sieciowych, takich jak checkip.dyndns.org, aby określić lokalizację geograficzną i adres IP zainfekowanego systemu. Dane te mogą być wykorzystane do dalszego ukierunkowania lub do wzmocnienia innych złośliwych kampanii w oparciu o lokalizację ofiary.
Podobne zagrożenia wykorzystujące techniki zwodnicze
Pojawienie się tej odmiany Snake Keylogger wpisuje się w szersze trendy cyberprzestępczości, w których złośliwi aktorzy wykorzystują zaawansowane techniki skryptowe, aby uniknąć wykrycia. Ostatnie dochodzenia ujawniły również oddzielne kampanie, które dystrybuują zagrożenia typu stealer przy użyciu plików skrótów (LNK) zamaskowanych jako dokumenty PDF. Te pliki LNK, hostowane w zainfekowanej infrastrukturze instytucji edukacyjnej, wykonują polecenia programu PowerShell w celu pobrania i zainstalowania dodatkowych zagrożeń.
Inna powiązana technika polega na użyciu zaciemnionych plików JavaScript do wdrażania podobnych zagrożeń. Te skrypty pobierają zakodowane ciągi z usług typu open source, co ostatecznie prowadzi do wykonania poleceń programu PowerShell, które pobierają szkodliwe ładunki. Niektóre z tych ładunków zostały osadzone w pozornie nieszkodliwych plikach obrazów przy użyciu metod steganograficznych, co jeszcze bardziej utrudnia ich wykrycie.
Łagodzenie ryzyka związanego z programem Snake Keylogger
Biorąc pod uwagę wyrafinowaną naturę tego keyloggera i jego techniki unikania, użytkownicy powinni zachować ostrożność podczas obsługi niechcianych wiadomości e-mail lub załączników. Organizacje powinny wdrożyć zaawansowane filtrowanie wiadomości e-mail, aby blokować podejrzane wiadomości, zanim dotrą do pracowników. Ponadto rozwiązania bezpieczeństwa punktów końcowych powinny być regularnie aktualizowane, aby rozpoznawać nowe strategie unikania stosowane przez te zagrożenia.
W miarę jak atakujący udoskonalają swoje metody, świadomość cyberbezpieczeństwa pozostaje kluczową obroną. Zrozumienie, jak działają oszukańcze techniki i zachowanie czujności podczas przeglądania Internetu lub uzyskiwania dostępu do wiadomości e-mail, może znacznie zmniejszyć ryzyko takich zagrożeń. Dzięki pozostawaniu poinformowanym i przyjmowaniu proaktywnych środków bezpieczeństwa osoby prywatne i firmy mogą lepiej chronić swoje poufne informacje przed rozwijającymi się cyfrowymi zagrożeniami.
