Snake 鍵盤記錄器變種將竊取所有敏感數據

針對 Windows 用戶的持久性資訊竊取程序

已發現 Snake Keylogger 的另一個變種積極針對多個地區的 Windows 用戶，包括中國、土耳其、印尼、台灣和西班牙。據報道，自今年年初以來，該版本已在全球範圍內阻止了超過 2.8 億次感染嘗試。其主要目的是透過記錄擊鍵、監視剪貼簿活動以及從 Chrome、Edge 和 Firefox 等廣泛使用的網路瀏覽器中提取資訊來捕獲敏感用戶數據，尤其是登入憑證。

Snake 鍵盤記錄器如何取得裝置存取權限

此鍵盤記錄器的主要傳播方式是透過帶有惡意連結或附件的欺騙性電子郵件。一旦執行，惡意軟體就會嵌入系統深處以收集和傳輸被盜資料。這是透過利用簡單郵件傳輸協定 (SMTP) 和 Telegram 機器人來實現的，使攻擊者能夠遠端檢索受損資訊。

最新一波攻擊的一個顯著特點是使用AutoIt 腳本語言。透過將有效載荷嵌入到 AutoIt 編譯的二進位檔案中，該技術使惡意軟體能夠避開傳統的偵測工具，從而使安全系統更難識別威脅。此外，AutoIt 引入了與合法自動化工具非常相似的動態行為，進一步使其檢測變得複雜。

在系統上建立持久性

一旦安裝，Snake Keylogger 就會將自身複製為「%Local_AppData%\supergroup」目錄中名為「ageless.exe」的文件，以確保其持久性。此外，它還在 Windows 啟動資料夾中放置一個名為「ageless.vbs」的輔助文件，確保每次重新啟動系統時惡意軟體都會重新載入。即使初始進程停止或被刪除，此方法仍允許鍵盤記錄器繼續其操作。

為了進一步隱藏其存在，Snake Keylogger 將其核心負載注入合法的 .NET 進程，例如「regsvcs.exe」。這種稱為進程挖空的技術使惡意軟體能夠在受信任的系統進程內運行，從而增加了安全解決方案檢測和消除威脅的難度。

Snake 鍵盤記錄器活動的影響

一旦成功嵌入到系統中，Snake Keylogger 就會使用涉及 SetWindowsHookEx API 的專門技術來擷取擊鍵。將第一個參數設為 WH_KEYBOARD_LL（標誌 13）可啟用低階鍵盤監控。這使得攻擊者可以記錄敏感的使用者輸入，包括銀行憑證、密碼和私人訊息。

除了記錄擊鍵之外，鍵盤記錄器還會存取 checkip.dyndns.org 等網路服務來確定受感染系統的地理位置和 IP 位址。這些數據可用於進一步定位或增強基於受害者位置的其他惡意活動。

利用欺騙手段的類似威脅

Snake Keylogger 變種的出現與更廣泛的網路犯罪趨勢一致，惡意行為者利用先進的腳本技術來逃避檢測。最近的調查還發現了一些單獨的活動，這些活動使用偽裝成 PDF 文件的快捷方式（LNK）文件來傳播竊取威脅。這些 LNK 檔案託管在受感染的教育機構基礎架構上，執行 PowerShell 命令來下載和安裝其他威脅。

另一種相關技術涉及使用混淆的 JavaScript 檔案來部署類似的威脅。這些腳本從開源服務中檢索編碼字串，最終導致執行下載有害負載的 PowerShell 命令。其中一些有效載荷已使用隱寫術嵌入到看似無害的圖像檔案中，這使得它們更難被檢測到。

減輕 Snake Keylogger 相關的風險

鑑於此鍵盤記錄器及其規避技術的複雜性，使用者在處理未經請求的電子郵件或附件時應小心謹慎。組織應實施先進的電子郵件過濾措施，在可疑郵件到達員工手中之前將其攔截。此外，端點安全解決方案應定期更新，以識別這些威脅所使用的新的逃避策略。

隨著攻擊者不斷改進其方法，網路安全意識仍然是一項關鍵的防禦措施。了解欺騙技術的工作原理並在瀏覽網路或存取電子郵件時保持警惕可以顯著降低此類威脅的風險。透過保持知情並採取主動的安全措施，個人和企業可以更好地保護他們的敏感資訊免受不斷演變的數位危險的侵害。