Yeni Snake Keylogger varyantı, Stealth for Stealth’i kullanarak kimlik avı e -postaları aracılığıyla Windows kullanıcılarını hedefler. Kimlik bilgilerini nasıl çaldığını ve algılamadan kaçındığını öğrenin.
Fordiguard Labs’taki siber güvenlik araştırmacıları, Snake Keylogger’ın Windows kullanıcılarını hedefleyen 404 Keylogger olarak da bilinen yeni bir varyant keşfetti. Hackread.com ile paylaşılan araştırmalarına göre, bu kötü amaçlı yazılım Autoit/Enjector.gty! TR olarak adlandırılır ve küresel olarak 280 milyondan fazla engellenmiş enfeksiyon denemesine bağlanmıştır, öncelikle Çin, Türkiye, Endonezya, Tayvan ve İspanya’da yoğunlaşmıştır.
Araştırmacılar, bu Snake Keylogger varyantının tipik olarak kötü niyetli ekler veya bağlantılar içeren kimlik avı e -postaları aracılığıyla yayıldığını belirtiyor. Chrome, Edge ve Firefox gibi popüler web tarayıcılarını hedefler, tuş vuruşlarını günlüğe kaydeterek, kimlik bilgilerini yakalayarak ve panoyu izleyerek kimlik bilgileri ve veriler gibi hassas bilgileri çalmayı hedefler. Çalınan veriler daha sonra e-posta (SMTP) ve Telegram botları yoluyla komut ve kontrol (C2) sunucusuna eklenir.
Fordiguard Labs’ın teknik raporuna göre, kötü amaçlı yazılım, kötü amaçlı yükünü teslim etmek ve yürütmek için Windows otomasyonu için sık kullanılan bir komut dosyası dili olan Autoit’i kullanır. Autoit, standart antivirüs çözümlerini atlayabilen bağımsız yürütülebilir ürünler oluşturabilirken, otomatik derlenen ikili, bir şaşkınlık katmanı ekleyerek algılama ve analizi daha zor hale getirir.
Grafik, 1 Ocak-12 Şubat 2025 arasındaki potansiyel kampanyaları öneren otomatik/enjektörün dalgalanan etkinlik seviyelerini gösterir.
Saldırı sırasında, kötü amaçlı yazılım, %Local_Appdata %\ SuperGroup klasöründe bir kopyasını “Agness.vbs” olarak %Local_Appdata %\ SuperGroup klasöründe bırakır. Bu komut dosyası, Sistem Başlangısında “Aglamess.exe” çalıştırmak için wscript.shell () kullanır ve kalıcılık sağlar. Bu yöntem yaygın olarak kullanılır, çünkü Windows Startup klasörü komut dosyalarının yönetici ayrıcalıkları olmadan çalışmasına izin verir.
“Aglamess.exe” i çalıştırdıktan sonra, kötü amaçlı yazılım kötü niyetli yükünü meşru bir .NET işlemine enjekte eder, “regsvcs.exe”, “regsvcs.exe” i askıya almayı, orijinal kodunu dağıtmayı, yeni bellek tahsis etmeyi ve kötü amaçlı yükün enjekte edilmesi. Devam ettikten sonra, işlem enjekte edilen kodu yürütür, kötü amaçlı yazılımın güvenilir bir süreçte gizlenmesine izin verir ve tespitten kaçınır.
Snake Keylogger, kurbanın coğrafi konumunu checkipdyndnsorg gibi web sitelerini kullanarak alır ve HTTP post isteklerini kullanarak SMTP ve Telegram botları aracılığıyla çalınan kimlik bilgilerini çıkarır. Ayrıca, kötü amaçlı yazılım, tarayıcı giriş bilgileri ve diğer hassas verileri içeren klasörlere erişimi algılayabilir. Kredi kartı detayları dahil olmak üzere tarayıcı otomatik doldurma sistemlerinden verileri çalmak için modüller kullanır ve WH_KEYBOard_ll bayrağı ile SetWindowShookex API’sını kullanarak tuş vuruşlarını yakalar ve duyarlı girdiyi günlüğe kaydetmesine izin verir.
Görüntü, Snake Keylogger’ın saldırı sırasında toplama, kimlik bilgisi erişim, savunma kaçırma, yanal hareket, ayrıcalık artış, keşif ve kaynak geliştirme vb. Keylogger.
Bu, sofistike, özellik açısından zengin bir varyant ve dünya çapında Windows kullanıcıları için bir tehdittir. Kuruluşlar ve bireyler, bu ve diğer ortaya çıkan Keylogger tehditlerine karşı savunmak için gelişmiş tehdit koruma ve proaktif güvenlik önlemlerinin bir kombinasyonunu kullanırlar.