Sofistike çok aşamalı bir kötü amaçlı yazılım olan Snakeylogger, hassas giriş bilgilerini hedefleyerek hem bireyler hem de işletmeler için önemli bir tehdit olarak ortaya çıktı.
Bu kötü amaçlı yazılım kampanyası, gizli bellek içi icra ve çok aşamalı enfeksiyon zinciri ile karakterize edilir ve bu da tespit edilmesini zorlaştırır.
Saldırı, açıldığında sanal bir sürücü oluşturan bir .img dosya eki içeren kötü niyetli bir spam e -postasıyla başlar.
Bu sürücünün içinde, yürütülebilir bir dosya bir PDF belgesi olarak maskelenir ve şüphesiz alıcılar tarafından açılma olasılığını artırır.
Saldırı zinciri ve teknikleri
Kötü amaçlı yazılım, hasat kimlik bilgilerini ve diğer hassas verileri için sistematik bir yaklaşım izler.
Yürütme üzerine, ilk aşama, medya dosyaları olarak gizlenmiş kodlanmış yükleri almak için uzak bir sunucuya bağlanan bir indirici ve yükleyici görevi görür.
Rapora göre, bu yükler disk tabanlı algılamadan kaçınarak bellekte şifre çözülmüştür.
Kötü amaçlı yazılım daha sonra belleğe gizlenmiş DLL’leri yükler ve kötü amaçlı kodları .NET çerçevesi ile ilgili olanlar gibi meşru süreçlere enjekte eder.
Özellikle, meşru bir işlemin ortaya çıktığı, belleğinin açıldığı ve yürütmeye devam etmeden önce kötü amaçlı kod enjekte edildiği bir teknik olan Process Hollowing’i kullanarak InstallUtil.exe’yi hedefler.
Hedefler ve etki
Snakeylogger, Google Chrome, Mozilla Firefox gibi web tarayıcıları ve Microsoft Outlook ve Thunderbird gibi e -posta istemcileri de dahil olmak üzere hassas verileri çalmak için çok çeşitli uygulamaları hedefler.
Ayrıca Filezilla’dan depolanan FTP kimlik bilgilerini çıkarır.
Kötü amaçlı yazılım, e-posta hesabı ayrıntılarını ve yapılandırmalarını çıkarmak, potansiyel olarak e-posta hesaplarından ödün vermek ve çok faktörlü kimlik doğrulamayı atlamak için kritik kayıt konumlarına erişir.
Çalınan kimlik bilgileri, işletme e -posta uzlaşması, daha fazla müdahale veya yeraltı pazarlarında satılmak için kullanılabilir.
Saldırganlar, genellikle Apache sunucularını kullanarak şifreli kötü amaçlı yükleri barındırma ve güncelleme için istikrarlı bir altyapı sürdürür.
Bu, kötü amaçlı yazılımlarını sorunsuz bir şekilde dağıtmalarını ve güncellemelerini sağlar, bu da güvenlik sistemlerinin ayakta kalmasını zorlaştırır.
Dosya formatı aldatma, proses oyma ve şifreli yük yürütme kullanımı, Snakeylogger tarafından algılamadan kaçınmak ve kimlik bilgisi çalma görevinin başarısını sağlamak için kullanılan temel taktiklerdir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin