Snake Keylogger-variant kommer att stjäla all känslig data

En ihållande informationsstjälare som riktar sig till Windows-användare

En annan ny variant av Snake Keylogger har upptäckts som aktivt riktar sig mot Windows-användare i flera regioner, inklusive Kina, Turkiet, Indonesien, Taiwan och Spanien. Rapporter indikerar att denna version redan har utlöst över 280 miljoner blockerade infektionsförsök globalt sedan början av året. Dess primära mål är att fånga känslig användardata, särskilt inloggningsuppgifter, genom att logga tangenttryckningar, övervaka urklippsaktivitet och extrahera information från allmänt använda webbläsare som Chrome, Edge och Firefox.

Hur Snake Keylogger får tillgång till enheter

Den primära distributionsmetoden för denna keylogger är genom bedrägliga e-postmeddelanden som innehåller skadliga länkar eller bilagor. När den har körts bäddar den in sig själv djupt i systemet för att samla in och överföra stulen data. Detta uppnås genom att utnyttja Simple Mail Transfer Protocol (SMTP) och Telegram-bots, vilket gör det möjligt för angripare att hämta den komprometterade informationen på distans.

Ett utmärkande drag för denna senaste våg av attacker är användningen av skriptspråket AutoIt . Genom att bädda in sin nyttolast i en AutoIt-kompilerad binär, gör denna teknik det möjligt för den skadliga programvaran att undvika traditionella detekteringsverktyg, vilket gör det svårare för säkerhetssystem att identifiera hotet. Dessutom introducerar AutoIt dynamiska beteenden som liknar legitima automationsverktyg, vilket ytterligare komplicerar dess upptäckt.

Att etablera uthållighet på systemet

När den väl har installerats säkerställer Snake Keylogger dess uthållighet genom att kopiera sig själv som en fil med namnet "ageless.exe" i katalogen "%Local_AppData%\supergroup". Dessutom placerar den en sekundär fil som heter "ageless.vbs" i Windows Startup-mapp, vilket säkerställer att skadlig programvara laddas om varje gång systemet startas om. Denna metod tillåter keyloggern att fortsätta sin verksamhet även om den initiala processen stoppas eller tas bort.

För att ytterligare dölja sin närvaro injicerar Snake Keylogger sin kärnnyttolast i en legitim .NET-process, såsom "regsvcs.exe." Denna teknik, känd som process hollowing, gör det möjligt för skadlig programvara att fungera inom en pålitlig systemprocess, vilket gör det mer utmanande för säkerhetslösningar att upptäcka och eliminera hotet.

Konsekvenserna av Snake Keyloggers aktiviteter

När den väl är inbäddad i ett system, fångar Snake Keylogger tangenttryckningar med en specialiserad teknik som involverar SetWindowsHookEx API. Att ställa in den första parametern till WH_KEYBOARD_LL (flagga 13) möjliggör övervakning av tangentbord på låg nivå. Detta gör att angripare kan logga känslig användarinmatning, inklusive bankuppgifter, lösenord och privata meddelanden.

Utöver att spela in tangenttryckningar, kommer keyloggern också åt webbtjänster som checkip.dyndns.org för att bestämma den geografiska platsen och IP-adressen för det intrångade systemet. Denna data kan användas för ytterligare inriktning eller för att förbättra andra skadliga kampanjer baserat på offrets plats.

Liknande hot som utnyttjar vilseledande tekniker

Framväxten av denna Snake Keylogger-variant ligger i linje med bredare trender inom cyberbrott där illvilliga aktörer utnyttjar avancerade skripttekniker för att undvika upptäckt. Nyligen genomförda undersökningar har också avslöjat separata kampanjer som distribuerar tjuverhot med genvägsfiler (LNK) förklädda som PDF-dokument. Dessa LNK-filer, som finns på komprometterad infrastruktur för utbildningsinstitutioner, kör PowerShell-kommandon för att ladda ner och installera ytterligare hot.

En annan relaterad teknik involverar användning av obfuskerade JavaScript-filer för att distribuera liknande hot. Dessa skript hämtar kodade strängar från tjänster med öppen källkod, vilket i slutändan leder till exekvering av PowerShell-kommandon som laddar ner skadliga nyttolaster. Vissa av dessa nyttolaster har bäddats in i till synes ofarliga bildfiler med steganografiska metoder, vilket gör dem ännu svårare att upptäcka.

Minska riskerna förknippade med Snake Keylogger

Med tanke på den sofistikerade karaktären hos denna keylogger och dess undvikandetekniker bör användare vara försiktiga när de hanterar oönskade e-postmeddelanden eller bilagor. Organisationer bör implementera avancerad e-postfiltrering för att blockera misstänkta meddelanden innan de når anställda. Slutpunktssäkerhetslösningar bör dessutom uppdateras regelbundet för att känna igen nya undanflyktsstrategier som används av dessa hot.

När angripare fortsätter att förfina sina metoder förblir cybersäkerhetsmedvetenhet ett viktigt försvar. Att förstå hur vilseledande tekniker fungerar och att vara vaksam när du surfar på internet eller kommer åt e-post kan avsevärt minska risken för sådana hot. Genom att hålla sig informerad och vidta proaktiva säkerhetsåtgärder kan individer och företag bättre skydda sin känsliga information mot föränderliga digitala faror.