Pojavila se sofisticirana kampanja putem fišinga koja koristi maliciozni softver Snake Keylogger, a kojom se zloupotrebljavaju legitimne Java uslužne programe za debugovanje kako bi se zaobišli sigurnosni mehanizmi i ciljale organizacije širom svijeta. Ovaj .NET maliciozni softver, porijeklom iz Rusije i distribuisan putem modela “Malware as a Service” (MaaS), predstavlja značajnu evoluciju u taktikama sajber kriminalaca, jer zloupotrebljava pouzdane sistemske komponente koje obično izbjegavaju otkrivanje.
Kampanja koristi ciljane fišing mejlove s temom prodaje naftnih derivata, koristeći pojačane geopolitičke tenzije na Bliskom istoku. Ove maliciozne komunikacije lažno predstavljaju velike naftne kompanije, posebno ciljajući organizacije u energetskom sektoru tokom perioda globalne zabrinutosti oko potencijalnih poremećaja u naftnoj logistici kroz Hormuški moreuz.
Analitičari CN-SEC-a su ovu kampanju identifikovali kao posebno vrijednu zbog njene bez presedana zloupotrebe jsadebugd.exe, legitimnog Java uslužnog programa za debugovanje koji ranije nije dokumentovan za maliciozne svrhe. Napadači pokazuju sofisticirano razumijevanje sistemske arhitekture, koristeći ovu pouzdanu binarnu datoteku za izvršavanje svog tereta, istovremeno održavajući prikrivenost.
Malware koristi proces infekcije u više faza, počevši sa kompresovanim prilozima koji sadrže legitimnu binarnu datoteku jsadebugd.exe, preimenovanu da izgleda kao dokument povezan s naftom. Kada se izvrši, malware koristi tehnike DLL sideloadinga kako bi učitao maliciozni kod kroz jli.dll biblioteku, naknadno ubrizgavajući Snake Keylogger teret u legitimni proces InstallUtil.exe.
Najsofisticiranija tehnika izbjegavanja napadača uključuje skladištenje Snake Keylogger binarnog zapisa unutar concrt141.dll, dok maliciozni kod strateški pozicioniraju neposredno ispred standardnog MZ headera. Ovaj smještaj omogućava teretu da ostane skriven od konvencionalnih sistema za detekciju zasnovanih na potpisima koji se oslanjaju na analizu standardne strukture PE datoteke. Ova manipulacija binarnim headerom efektivno prikriva maliciozni teret, istovremeno održavajući legitimnost datoteke.
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, osiguravajući kontinuirano izvršavanje nakon ponovnog pokretanja sistema, dok kopira komponente u direktorij %USERPROFILE%SystemRootDoc. Nakon uspješne instalacije, Snake Keylogger sakuplja kredencijale iz preko 40 pregledača i aplikacija, uključujući Chrome, Firefox, Microsoft Outlook i FileZilla, istovremeno prikupljajući sistemske informacije putem legitimnih servisa poput reallyfreegeoip.org. Ukradeni podaci se prenose putem SMTP-a na email adrese kontrolisane od strane napadača, čime se završava sveobuhvatna operacija krađe podataka.