Вариант кейлоггера Snake украдет все конфиденциальные данные
Table of Contents
Постоянный похититель информации, нацеленный на пользователей Windows
Еще один появившийся вариант Snake Keylogger был обнаружен активно нацеленным на пользователей Windows в нескольких регионах, включая Китай, Турцию, Индонезию, Тайвань и Испанию. Отчеты показывают, что эта версия уже вызвала более 280 миллионов заблокированных попыток заражения по всему миру с начала года. Ее основная цель — сбор конфиденциальных данных пользователей, в частности учетных данных для входа, путем регистрации нажатий клавиш, мониторинга активности буфера обмена и извлечения информации из широко используемых веб-браузеров, таких как Chrome, Edge и Firefox.
Как Snake Keylogger получает доступ к устройствам
Основной метод распространения этого кейлоггера — через обманные электронные письма, содержащие вредоносные ссылки или вложения. После запуска вредоносное ПО глубоко внедряется в систему для сбора и передачи украденных данных. Это достигается за счет использования Simple Mail Transfer Protocol (SMTP) и ботов Telegram, что позволяет злоумышленникам удаленно извлекать скомпрометированную информацию.
Отличительной чертой этой последней волны атак является использование языка сценариев AutoIt . Встраивая свою полезную нагрузку в скомпилированный AutoIt двоичный файл, этот метод позволяет вредоносному программному обеспечению обходить традиционные средства обнаружения, что затрудняет идентификацию угрозы системами безопасности. Кроме того, AutoIt представляет динамическое поведение, которое очень похоже на легитимные средства автоматизации, что еще больше усложняет его обнаружение.
Установление постоянства в системе
После установки Snake Keylogger обеспечивает свою устойчивость, копируя себя как файл с именем "ageless.exe" в каталоге "%Local_AppData%\supergroup". Кроме того, он помещает вторичный файл с именем "ageless.vbs" в папку автозагрузки Windows, что гарантирует перезагрузку вредоносной программы при каждом перезапуске системы. Этот метод позволяет кейлоггеру продолжать свою работу, даже если исходный процесс остановлен или удален.
Чтобы еще больше скрыть свое присутствие, Snake Keylogger внедряет свою основную полезную нагрузку в легитимный процесс .NET, такой как «regsvcs.exe». Эта техника, известная как «опустошение процесса», позволяет вредоносному программному обеспечению работать в доверенном системном процессе, что затрудняет обнаружение и устранение угрозы решениями безопасности.
Последствия деятельности кейлоггера Snake
После успешного внедрения в систему Snake Keylogger захватывает нажатия клавиш с помощью специализированной техники, включающей API SetWindowsHookEx. Установка первого параметра в WH_KEYBOARD_LL (флаг 13) включает низкоуровневый мониторинг клавиатуры. Это позволяет злоумышленникам регистрировать конфиденциальный ввод данных пользователем, включая банковские учетные данные, пароли и личные сообщения.
Помимо записи нажатий клавиш, кейлоггер также обращается к веб-сервисам, таким как checkip.dyndns.org, чтобы определить географическое положение и IP-адрес скомпрометированной системы. Эти данные могут быть использованы для дальнейшего таргетирования или для улучшения других вредоносных кампаний на основе местоположения жертвы.
Похожие угрозы, использующие обманные приемы
Появление этого варианта Snake Keylogger соответствует более широким тенденциям киберпреступности, где злоумышленники используют передовые методы написания скриптов, чтобы избежать обнаружения. Недавние расследования также выявили отдельные кампании, которые распространяют угрозы кражи с использованием файлов ярлыков (LNK), замаскированных под документы PDF. Эти файлы LNK, размещенные в скомпрометированной инфраструктуре образовательного учреждения, выполняют команды PowerShell для загрузки и установки дополнительных угроз.
Другая связанная техника подразумевает использование запутанных файлов JavaScript для развертывания аналогичных угроз. Эти скрипты извлекают закодированные строки из служб с открытым исходным кодом, что в конечном итоге приводит к выполнению команд PowerShell, которые загружают вредоносные полезные нагрузки. Некоторые из этих полезных нагрузок были встроены в, казалось бы, безобидные файлы изображений с использованием стеганографических методов, что еще больше усложняет их обнаружение.
Снижение рисков, связанных с кейлоггером Snake
Учитывая сложную природу этого кейлоггера и его методы уклонения, пользователи должны проявлять осторожность при работе с нежелательными электронными письмами или вложениями. Организациям следует внедрить расширенную фильтрацию электронной почты, чтобы блокировать подозрительные сообщения до того, как они попадут к сотрудникам. Кроме того, решения по безопасности конечных точек должны регулярно обновляться для распознавания новых стратегий уклонения, используемых этими угрозами.
Поскольку злоумышленники продолжают совершенствовать свои методы, осведомленность о кибербезопасности остается критически важной защитой. Понимание того, как работают обманные методы, и сохранение бдительности при просмотре интернета или доступе к электронной почте может значительно снизить риск таких угроз. Оставаясь в курсе событий и принимая упреждающие меры безопасности, частные лица и компании могут лучше защитить свою конфиденциальную информацию от развивающихся цифровых опасностей.
