404 Keylogger olarak da bilinen Snake Keylogger’ın yeni bir varyantı, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi popüler web tarayıcılarının kullanıcılarını hedefleyen tespit edildi.
Fortiguard Labs, bu tehdidi, gelişmiş yapay zeka (AI) ve makine öğrenimi ile güçlendirilmiş en yeni kötü amaçlı yazılım algılama platformu olan Fortisandbox V5.0 (FSAV5) kullanarak tanımladı.
Bu kötü amaçlı yazılım, tuş vuruşlarını günlüğe kaydeterek ve pano etkinliğini izleyerek kimlik bilgileri ve diğer kişisel veriler de dahil olmak üzere hassas kullanıcı bilgilerini çalmak için tasarlanmıştır.
Global Reach ile Yüksek Etkili Kampanya
Autoit/enjektör olarak tanımlanan Snake Keylogger varyantı, dünya çapında 280 milyondan fazla engellenmiş enfeksiyon denemesiyle zaten bağlantılıdır.
Bu tespitlerin en yüksek konsantrasyonu Çin, Türkiye, Endonezya, Tayvan ve İspanya gibi bölgelerde bildirilmiştir.
Öncelikle kötü niyetli ekler veya bağlantılar içeren kimlik avı e-postaları aracılığıyla teslim edilen kötü amaçlı yazılım, SMTP veya Telegram botları aracılığıyla komut ve kontrol (C2) sunucusuna çalınan verileri ortaya çıkarır.
Bu, saldırganların mağdurların hassas bilgilerine yetkisiz erişim elde etmelerini sağlar.
Kaçma ve kalıcılık için gelişmiş teknikler
Bu varyant, enfekte olmuş sistemlerde kalıcılıktan kaçınmak ve devam etmek için sofistike teknikler kullanır.
Geleneksel antivirüs çözümlerini atlayan bağımsız yürütülebilir ürünlere dönüştürmek için Windows ortamlarında otomasyon için sıklıkla kullanılan bir komut dosyası dili olan Autoit’i kullanır.
Yürütme üzerine, kötü amaçlı yazılım dosyaları belirli dizinlere bırakır. %Local_AppData%\supergroup ve sistem yeniden başlatılmasında otomatik olarak çalıştığından emin olmak için Windows başlangıç klasöründe komut dosyaları oluşturur.
Ek olarak, Snake Keylogger, kötü amaçlı kodları meşru süreçlere enjekte etmek için proses oyuğunu kullanır. RegSvcs.exe.
Bu teknik, kötü amaçlı yazılımın güvenilir sistem süreçlerinde tespit edilmemesini sağlar.
Ayrıca, tuş vuruşlarını yakalamak için düşük seviyeli klavye kancaları kullanırken depolanan kimlik bilgilerini ve kredi kartı ayrıntılarını çıkarmak için tarayıcı otomatik doldurma sistemlerini hedefler.
Fortisandbox V5.0, bu tehdidi PAIX AI motoru aracılığıyla tanımlamada çok önemli bir rol oynadı.
Platform, şüpheli aktiviteleri gerçek zamanlı olarak tespit etmek için kod yapılarını ve gömülü imzaları inceleyen statik analizi birleştirir.
FSAV5, kimlik bilgisi hasat ve veri açığa çıkmasını gösteren gizlenmiş dizeleri, API çağrılarını ve çalışma zamanı davranışlarını ortaya çıkarır.
Fortinet analizi, Snake Keylogger’ın web sitelerini kaldırdığını ortaya koydu. checkip[.]dyndns[.]org coğrafi konum keşif için ve çalınan verileri HTTP sonrası istekleri aracılığıyla iletir.
Ayrıca, tarayıcıyla ilgili oturum açma kimlik bilgilerine erişmek için şifreli komut dosyalarını ve özel modülleri dağıtır.
Kuruluşlara, Snake Keylogger için birincil teslimat mekanizmasını kimlik avı saldırılarını önlemek için e -posta güvenlik önlemlerini güçlendirmeleri tavsiye edilir.
Fortisandbox gibi gelişmiş tehdit algılama araçlarının dağıtılması, bu tür tehditlerin etkili bir şekilde tanımlanmasına ve azaltılmasına yardımcı olabilir.
Antivirüs çözümlerinin düzenli güncellemeleri ve siber güvenlik konusunda çalışan eğitimi en iyi uygulamalar da gelişen kötü amaçlı yazılım kampanyalarına maruz kalmayı azaltmada kritik öneme sahiptir.
Bu saldırı kampanyası, anahtarlogerların artan sofistike olmasının altını çizdiğinden, ortaya çıkan tehditlere karşı hassas bilgilerin korunmasında proaktif önlemler şarttır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun