Snake Keylogger kötü amaçlı yazılımlardan yararlanan gelişmiş bir kimlik avı kampanyası ortaya çıktı ve dünya çapında güvenlik mekanizmalarını ve hedef organizasyonları atlamak için meşru Java hata ayıklama yardımcı programlarından yararlandı.
Bir kötü amaçlı yazılım (MAAS) modeli aracılığıyla dağıtılan Rus orijinal .NET kötü amaçlı yazılımları, tipik olarak tespitten kaçınan güvenilir sistem bileşenlerini kötüye kullanarak siber suçlu taktiklerde önemli bir evrimi temsil eder.
Kampanya, Petrol ürün satışları etrafında temalı ve Orta Doğu’daki artan jeopolitik gerginliklerden yararlanan mızrak-aktı e-postaları kullanıyor.
.png
)
.webp)
Bu kötü niyetli iletişim, büyük petrol şirketlerini taklit etmektedir, özellikle de Hormuz Boğazı yoluyla petrol lojistiğindeki potansiyel aksamalar konusunda küresel bir endişe döneminde enerji sektöründeki organizasyonları hedeflemektedir.
CN-SEC analistleri, daha önce kötü niyetli amaçlar için belgelenmemiş meşru bir Java hata ayıklama yardımcısı olan JSadebugd.exe’nin eşi görülmemiş kötüye kullanılması nedeniyle bu kampanyayı özellikle dikkate değer olarak belirledi.
Saldırganlar, gizliliği korurken yüklerini yürütmek için bu güvenilir ikili kullanarak sistem mimarisinin sofistike bir şekilde anlaşılmasını gösterir.
Kötü amaçlı yazılım, petrolle ilgili bir belge olarak görünmek üzere yeniden adlandırılan meşru jsadebugd.exe ikili içeren sıkıştırılmış eklerle başlayan çok aşamalı bir enfeksiyon işlemi kullanır.
Yürütüldüğünde, kötü amaçlı yazılım, JLI.DLL kütüphanesi aracılığıyla kötü amaçlı kod yüklemek için DLL kenar yükleme tekniklerini kullanır ve daha sonra Yılan Keylogger yükünü meşru kurulum.exe işlemine enjekte eder.
İkili başlık manipülasyonu yoluyla gelişmiş kaçırma
Kötü amaçlı yazılımın en sofistike kaçakçılığı tekniği, Standart MZ başlığından hemen önce kötü amaçlı kod kodunu stratejik olarak konumlandırırken, Snake Keylogger ikili Binary’nin Bett141.dll içinde saklanmasını içerir.
Bu yerleşim, yükün standart PE dosya yapısı analizine dayanan geleneksel imza tabanlı algılama sistemlerinden gizli kalmasını sağlar.
İkili başlık manipülasyonu kötü amaçlı yazılım yapısında gözlemlenebilir:-
Offset (h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
00000000 00 01 00 00 00 00 72 01 00 4D 5A 90 00 03 00 00Bu teknik, dosya meşruiyetini korurken kötü amaçlı yükü etkili bir şekilde maskeler.
Kötü amaçlı yazılım, kayıt defteri modifikasyonu yoluyla kalıcılık oluşturur SOFTWARE\Microsoft\Windows\CurrentVersion\Runbileşenleri kopyalarken sistem yeniden başlatmalarında sürekli yürütme sağlamak %USERPROFILE%SystemRootDoc.
Başarılı kurulum üzerine Snake Keylogger, gerçek freegeoip.org gibi meşru hizmetler aracılığıyla sistem bilgilerini toplarken Chrome, Firefox, Microsoft Outlook ve Filezilla dahil olmak üzere 40’tan fazla tarayıcıdan ve uygulamalardan kimlik bilgilerini hasat eder.
Çalınan veriler, SMTP aracılığıyla saldırgan kontrollü e-posta adreslerine eklenir ve kapsamlı bir veri hırsızlığı işlemini tamamlar.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi