Variante do Snake Keylogger roubará todos os dados confidenciais
Table of Contents
Um ladrão de informações persistente que tem como alvo usuários do Windows
Outra variante emergente do Snake Keylogger foi detectada visando ativamente usuários do Windows em várias regiões, incluindo China, Turquia, Indonésia, Taiwan e Espanha. Relatórios indicam que esta versão já desencadeou mais de 280 milhões de tentativas de infecção bloqueadas globalmente desde o início do ano. Seu objetivo principal é capturar dados confidenciais do usuário, particularmente credenciais de login, registrando pressionamentos de tecla, monitorando a atividade da área de transferência e extraindo informações de navegadores da web amplamente usados, como Chrome, Edge e Firefox.
Como o Snake Keylogger obtém acesso aos dispositivos
O principal método de distribuição para este keylogger é por meio de e-mails enganosos que carregam links ou anexos maliciosos. Uma vez executado, o software malicioso se incorpora profundamente no sistema para coletar e transmitir dados roubados. Isso é obtido aproveitando o Simple Mail Transfer Protocol (SMTP) e os bots do Telegram, permitindo que os invasores recuperem as informações comprometidas remotamente.
Uma característica distintiva dessa última onda de ataques é o uso da linguagem de script AutoIt . Ao incorporar sua carga útil em um binário compilado pelo AutoIt, essa técnica permite que o software malicioso evite ferramentas de detecção tradicionais, tornando mais difícil para os sistemas de segurança identificarem a ameaça. Além disso, o AutoIt introduz comportamentos dinâmicos que se assemelham muito a ferramentas de automação legítimas, complicando ainda mais sua detecção.
Estabelecendo Persistência no Sistema
Uma vez instalado, o Snake Keylogger garante sua persistência copiando a si mesmo como um arquivo chamado "ageless.exe" dentro do diretório "%Local_AppData%\supergroup". Além disso, ele coloca um arquivo secundário chamado "ageless.vbs" na pasta de inicialização do Windows, o que garante que o malware seja recarregado toda vez que o sistema for reiniciado. Este método permite que o keylogger continue suas operações mesmo se o processo inicial for interrompido ou removido.
Para ocultar ainda mais sua presença, o Snake Keylogger injeta sua carga principal em um processo .NET legítimo, como "regsvcs.exe". Essa técnica, conhecida como process hollowing, permite que software malicioso opere dentro de um processo de sistema confiável, tornando mais desafiador para as soluções de segurança detectar e eliminar a ameaça.
As implicações das atividades do Snake Keylogger
Uma vez incorporado com sucesso em um sistema, o Snake Keylogger captura pressionamentos de tecla usando uma técnica especializada que envolve a API SetWindowsHookEx. Definir o primeiro parâmetro como WH_KEYBOARD_LL (flag 13) habilita o monitoramento de teclado de baixo nível. Isso permite que invasores registrem entradas confidenciais do usuário, incluindo credenciais bancárias, senhas e mensagens privadas.
Além de registrar pressionamentos de tecla, o keylogger também acessa serviços da web como checkip.dyndns.org para determinar a localização geográfica e o endereço IP do sistema comprometido. Esses dados podem ser usados para direcionamento posterior ou para aprimorar outras campanhas maliciosas com base na localização da vítima.
Ameaças semelhantes que aproveitam técnicas enganosas
O surgimento dessa variante do Snake Keylogger se alinha com tendências mais amplas de crimes cibernéticos, onde atores maliciosos exploram técnicas avançadas de script para evitar a detecção. Investigações recentes também descobriram campanhas separadas que distribuem ameaças de ladrão usando arquivos de atalho (LNK) disfarçados como documentos PDF. Esses arquivos LNK, hospedados na infraestrutura comprometida da instituição educacional, executam comandos do PowerShell para baixar e instalar ameaças adicionais.
Outra técnica relacionada envolve o uso de arquivos JavaScript ofuscados para implantar ameaças semelhantes. Esses scripts recuperam strings codificadas de serviços de código aberto, levando, em última análise, à execução de comandos do PowerShell que baixam payloads prejudiciais. Alguns desses payloads foram incorporados em arquivos de imagem aparentemente inócuos usando métodos esteganográficos, tornando-os ainda mais difíceis de detectar.
Mitigando os riscos associados ao Snake Keylogger
Dada a natureza sofisticada deste keylogger e suas técnicas de evasão, os usuários devem ter cuidado ao lidar com e-mails ou anexos não solicitados. As organizações devem implementar filtragem avançada de e-mail para bloquear mensagens suspeitas antes que cheguem aos funcionários. Além disso, as soluções de segurança de endpoint devem ser atualizadas regularmente para reconhecer novas estratégias de evasão usadas por essas ameaças.
À medida que os invasores continuam a refinar seus métodos, a conscientização sobre segurança cibernética continua sendo uma defesa crítica. Entender como as técnicas enganosas funcionam e manter a vigilância ao navegar na internet ou acessar e-mails pode reduzir significativamente o risco de tais ameaças. Ao se manterem informados e adotarem medidas de segurança proativas, indivíduos e empresas podem proteger melhor suas informações confidenciais contra perigos digitais em evolução.
