Site icon Kiber.ba

Novi Snake Keylogger napada korisnike Chrome-a, Edge.a i Firefox-a

Đorđe
Novi Snake Keylogger napada korisnike Chrome-a, Edge.a i Firefox-a-Kiber.ba

Novi Snake Keylogger napada korisnike Chrome-a, Edge.a i Firefox-a-Kiber.ba

Sofisticirana nova varijanta Snake Keylogger-a (otkrivena kao Autolt/Injector.GTY!tr) pojavila se kao kritična prijetnja za korisnike Windowsa.

Koristi napredne tehnike izbjegavanja za krađu osjetljivih podataka iz browser-a Chrome-a, Edge-a i Firefox-a.

FortiGuard Labs izvještava o preko 280 miliona blokiranih pokušaja zaraze od januara 2025. godine, s koncentrisanim napadima u Kini, Turskoj, Indoneziji, Tajvanu i Španiji.

Maliciozni softver koristi AutoIt skriptovanje, šuplje procese i višekanalnu eksfiltraciju kako bi zaobišao tradicionalnu odbranu, što ga čini jednim od najupornijih keyloggera uočenih ove godine.

Vektor infekcije i taktike izbjegavanja

Kampanja počinje s phishing porukama e-pošte koje distribuišu maliciozne priloge ili linkove.

Nakon izvršenja, Snake Keylogger postavlja binarni program ( ageless.exe) preveden u AutoIt u %Local_AppData%\supergroupdirektorij, skrivajući svoje prisustvo kroz skrivene atribute.

Fleksibilnost AutoIt-a omogućava malicioznom softveru da ugradi šifrovane korisne podatke:-

LOCAL GOKLGORRY= -"% STRIMGLEN(SFSXRNSO  
MEXI  
global sphtiwuzwso  
2556184065275618406526561840 "

Ovo zamagljivanje komplikuje statičku analizu, dok dinamičko ponašanje oponaša benigne alate za automatizaciju.

Da bi osigurao postojanost, Snake Keylogger ispušta VBScript ( ageless.vbs) u %Startup%folder:-

Set WshShell = CreateObject("WScript.Shell")  
WshShell.Run "C:\Users\Administrator\AppData\Local\supergroup\ageless.exe", 1  
Set WshShell = Nothing

Ova skripta osigurava automatsko izvršavanje nakon ponovnog pokretanja sistema, iskorištavajući zahtjeve Windows foldera za pokretanje s niskim privilegijama.

Maliciozni softver ubrizgava svoj teret u RegSvcs.exe, legitimni .NET proces, koristeći proces šuplje.

Obustavljanjem procesa, demapiranjem njegove memorije i učitavanjem malicioznog koda, Snake Keylogger izbjegava detekciju zasnovanu na potpisu.

FortiSandbox indikator za ubrizgavanje procesa (Izvor – Fortinet)

Jednom kada je aktivan, implementira globalni keyboard hook za SetWindowsHookEx(13, ...)hvatanje pritisaka na tipke, uključujući bankovne kredencijale i lozinke.

Ukradeni podaci – od detalja o automatskom popunjavanju pretraživača do sadržaja međuskladišta – eksfiltriraju se preko SMTP i Telegram botova .

Ovdje donja slika otkriva kod koji cilja informacije o kreditnoj kartici:-

csharp if (Operators.CompareString(Class6.string_25, "True", false) == 0) string text = string.Concat(new string[] { "PW | ", Environment.UserName, ... });
Pokušaj Snake Keyloggera da ukrade podatke o kreditnoj kartici žrtve (Izvor – Fortinet)

Maliciozni softver također kontaktira checkip.dyndns.orgkako bi locirao žrtve, poboljšavajući izviđanje napadača.

PAIX motor FortiSandbox v5.0 otkrio je prijetnju kroz analizu ponašanja i statičku heuristiku, identifikujući ugrađene API-je i mrežne anomalije.

Indikatori dinamičke analize (izvor – Fortinet)

Organizacije se pozivaju da:-

  1. Primijenite napredni sandbox za analizu skripti i binarnih datoteka.
  2. Blokirajte veze sa C2 serverima kao što su http://51[.]38[.]247[.]67:8081.
  3. Obrazujte korisnike o rizicima krađe identiteta putem sigurnosnih platformi.

Indikatori kompromisa (IOC) uključuju hešove datoteka f8410bcd14256d6d355d7076a78c074f(ageless.exe) i 77f8db41b320c0ba463c1b9b259cfd1b(ageless.vbs).

Uz evoluirajuću taktiku Snake Keyloggera, slojevita odbrana koju integriše AI i obavještajne podatke o prijetnjama i dalje je ključna za zaštitu osjetljivih podataka.

Izvor: CyberSecurityNews

Exit mobile version