Güvenlik araştırmacıları, Snake Keylogger kötü amaçlı yazılım ailesinin gelişmiş bir evrimi olan ve gelişmiş veri çalma yetenekleri ve geliştirilmiş kaçırma teknikleri gösteren Nova’yı ortaya çıkardı.
Bu yeni değişken, kötü amaçlı yazılım geliştirmede önemli bir ilerlemeyi temsil ediyor ve hem kişisel hem de kurumsal sistemler için artan riskler oluşturuyor.
Kasım 2020’de keşfedilen .NET tabanlı bir kötü amaçlı yazılım olan Snake Keylogger, kimlik bilgilerini çalması ve tuş vuruşlarını günlüğe kaydetmesiyle biliniyor.
Çoğunlukla kötü amaçlı Office belgeleri veya PowerShell aracılığıyla indirici komut dosyaları sunan PDF’ler kullanan kimlik avı kampanyaları yoluyla yayılır. Etkinleştiğinde tuş vuruşlarını kaydeder, kayıtlı kimlik bilgilerini çalar, ekran görüntülerini yakalar ve pano verilerini çıkarır.
2024 yılına gelindiğinde Snake Keylogger, tespitten kaçınmak için süreç boşaltma ve kodun büyük ölçüde gizlenmesi gibi tekniklerle taktiklerini geliştirdi. Artık yükünü eklemek için askıya alınmış bir alt süreç kullanıyor, bu da güvenlik araçlarının tespit etmesini ve engellemesini zorlaştırıyor. Raporlar, yaygınlığının arttığını ve kişisel ve kurumsal siber güvenlik açısından artan bir risk oluşturduğunu gösteriyor.
SOC/DFIR Ekiplerinden misiniz? ANY.RUN’un Etkileşimli Sandbox’ının tüm özelliklerini ücretsiz deneyin
ANY.RUN Sandbox’tan Teknik Bilgiler
VB.NET’te yazılan Nova, Net Reactor Obfuscator ve AutoIt tabanlı koruyucular dahil olmak üzere birden fazla koruma katmanı kullanır. Kötü amaçlı yazılım, yükünü askıya alınan süreçlere enjekte etmek için süreç boşaltma tekniklerini kullanıyor ve bu da güvenlik çözümleri için algılamayı daha zor hale getiriyor.
Nova’daki en önemli ilerlemelerden biri, yükünü askıya alınmış bir alt sürece enjekte ederek antivirüs programlarının tespitini zorlaştıran süreç boşaltmanın kullanılmasıdır.
Ek olarak Nova, operasyonlarını daha da gizlemek için Net Reactor Obfuscator gibi araçları kullanarak oldukça karmaşık kodlar kullanıyor. 2024’teki raporlar, bu kötü amaçlı yazılımla ilgili sıfır gün tespitlerinde önemli bir artışa dikkat çekerek, artan tehdit düzeyinin altını çiziyor.
HERHANGİ BİR yerde yapılan analiz.KOŞMAK Interactive Sandbox, Nova’nın davranışını ayrıntılı olarak ortaya koyuyor bu oturum.
Kötü amaçlı yazılım, kurbanın IP adresini belirlemek için checkip.dyndns.org gibi hizmetlere HTTP istekleri başlatır ve virüslü cihazın ülke konumunu belirlemek için gerçektenfreegeoip.org’a yönelik DNS isteklerini kullanır.
Temel teknik özellikler şunları içerir:
- Chrome, Firefox, Edge ve Opera gibi başlıca tarayıcılardan kapsamlı kimlik bilgileri toplama
- Outlook, Thunderbird ve Foxmail için e-posta istemcisi hedefleme yetenekleri
- Kayıt defteri manipülasyonu yoluyla gelişmiş Windows ürün anahtarı çıkarma
- Gelişmiş pano izleme ve veri sızma sistemleri
ANY.RUN’un Etkileşimli Sandbox’ı ile kötü amaçlı yazılımları ve kimlik avını analiz edin – Ücretsiz Deneyin
Veri Süzme Yöntemleri
Kötü amaçlı yazılım, üç ana kanalı kullanan çok yönlü bir sızma çerçevesine sahiptir: Telegram API entegrasyonu, FTP aktarım yetenekleri ve SMTP tabanlı sızma.
Analiz, “skullsnovabot”, “onumenbot” ve “santigeebot” gibi tanımlanmış bot tanıtıcılarıyla Telegram botlarının komuta ve kontrol amacıyla aktif kullanıldığını gösteriyor.
Nova’nın bilgi toplama yetenekleri temel keylogging’in ötesine geçerek şunları içerir:
- gerçektenfreegeoip.org aracılığıyla coğrafi konum takibi
- checkip.dyndns.org aracılığıyla IP adresi doğrulaması
- PC adı ve zamansal veriler dahil sistem bilgilerinin toplanması
- Birden fazla uygulama için otomatik şifre çözme
Snake kötü amaçlı yazılım ailesindeki bu evrim, kötü amaçlı yazılımların karmaşıklığı konusunda endişe verici bir eğilimi temsil ediyor. Gelişmiş kaçırma tekniklerinin kapsamlı veri hırsızlığı yetenekleriyle birleşimi Nova’yı kurumsal güvenlik açısından önemli bir tehdit haline getiriyor.
Güvenlik araştırmacıları, “Nova’nın ortaya çıkışı siber tehditlerin sürekli gelişimini gösteriyor” dedi. “Gelişmiş yetenekleri ve kaçınma teknikleri, onu tespit etmeyi ve azaltmayı özellikle zorlaştırıyor.”
14 günlük ücretsiz deneme sürümünü edinin ANY.RUN’un Etkileşimli Sandbox’ının tüm özelliklerini test etmek için