Призрак в системата: Snake Keylogger опустошава Chrome, Edge и Firefox
Невидим вирус трансформира AutoIt в идеалното укритие.
Според отчет на Fortinet нова версия на Snake Keylogger нападна потребителите на Windows в Азия и Европа, като употребява необикновен способ на маскиране. Зловредният програмен продукт към този момент употребява скриптовия език на AutoIt, с цел да затрудни откриването му от антивирусните принадлежности.
Snake Keylogger е основан на.NET инструмент за кражба на информация. Както и в предходните версии, Snake Keylogger доближава до устройствата на жертвите посредством инфектирани атачмънти към имейли и записва натисканията на клавишите (keylogging), прави скрийншоти на работния плот и копира данните от клипборда. В резултат на това киберпрестъпниците получават достъп до сметките, банковите данни и друга сензитивна информация, в това число паролите, въведени в браузърите Chrome, Edge и Firefox.
Откраднатите данни се изпращат до сървърите на хакерите по разнообразни способи: посредством SMTP, ботове на Telegram и HTTP поръчки. Експертите на Fortinet разкриха, че новият вид се популяризира като компилиран двоичен AutoIt файл. Това дава опция на киберпрестъпниците да скрият главния потребен товар на зловредния програмен продукт вътре в изпълнимия файл, което затруднява неговото анализиране и разкриване.
AutoIt е безвъзмезден скриптов език за автоматизиране на дилемите в Оценка за съвместимост Windows, който постоянно се употребява за основаване на независими изпълними файлове. Това дава на нападателите инструмент, който оказва помощ да се заобиколят защитните механизми на обичайните антивирусни стратегии.
След като бъде стартиран, зловредният програмен продукт се копира в досието %Local_AppData%supergroup, маскирайки се като ageless.exe, и скрива наличието си. За да се подсигурява, че ще се започва автоматизирано при рестартиране на системата, вирусът основава VBS файла ageless.vbs в досието на Windows за автоматизирано пускане. Този способ дава на Snake Keylogger опцията да резервира контрола над инфектираното устройство, даже в случай че главният развой бъде принудително преустановен от потребителя или антивирусната стратегия.
Освен това злонамереният програмен продукт инжектира своя злотворен потребен товар в систематичния развой RegSvcs.exe, като употребява process hollowing, което му разрешава да подмени кода в законния развой, заобикаляйки механизмите за отбрана и поведенчески разбор.
За прихващане на натисканията на клавишите Snake Keylogger употребява функционалността SetWindowsHookEx API с параметър WH_KEYBOARD_LL, което му разрешава да следи всичко, което потребителят вкарва. В допълнение към записването на клавишите зловредният програмен продукт дефинира местоположението на жертвата по IP адреса, като изисква данни от услугата checkip.dyndns.org.
Анализаторите на Fortinet предизвестяват, че потреблението на AutoIt прави този вид на Snake Keylogger изключително рисков, защото той може да имитира законни скриптове за автоматизация и да заобикаля обичайните механизми за отбрана. На потребителите се предлага да заобикалят отварянето на атачмънтите в имейлите от непознати податели и постоянно да актуализират антивирусните си бази данни.
