电子邮件内有毒蛇：揭秘Snake Keylogger窃密木马

该恶意程序通过钓鱼邮件进行传播，邮件主题为“五一劳动节职工福利名单”。邮件带有一个压缩包附件，解压后为两张图片和一个伪装成 Word 文档的可执行程序，诱导受害者点击。

该恶意文件经过了混淆处理，类名、函数名和变量名都是随机生成的无意义字符串，这给分析人员分析时造成了一定困难。

1.恶意文件运行后，将一段字符串进行翻转，并根据秘钥取模依次相减，得到一串 Base64 字符串。

2.经过 Base64 解码，可以看到 PE 文件数据。

3.之后这个 PE 文件作为模块加载到内存中，该 DLL 伪装成 UI 制图库，并调用其 Alpha 命名空间下 Beta 类的 Bunifu_TextBox 函数。

4.该模块，首先会调用 Sleep 函数沉睡 25500 毫秒，这是一种常见的对抗恶意文件分析工具的手段。然后，获取主程序中 Sales_Dashboard.Resources 资源目录下名为jXEamol 的图片资源。

5.从图片中提取数据后，进行 Gzip 解密，得到另外一个可执行程序，同样作为模块加载到内存中，然后通过 Invoke函数从入口点进入。

6.该程序主要通过 API WriteProcessMemory()  将  Snake Keylogger  有效负载逐段复制到子进程中。它接下来调用 SetThreadContext()  使子进程指向  Snake Keylogger  的入口点函数。在父进程退出之前，调用  API ResumeThread()  使子进程恢复运行。

7.被注入的程序，就是 Snake Keylogger 的核心程序，包含全部的信息窃取功能：

（1）键盘记录功能：

（2）窃取应用凭证：

（3）窃取Wifi密码：

（4）屏幕截图：

（5）通过邮件回传窃取到的数据：

8.目标应用包括浏览器、电子邮箱等以下几十种：

kinza，Sputnik，SalamWeb，Chrome plus，QIP Surf，BlackHawk，7Star，Sleipnir5，Citrio，Chrome SxS，Chrome，Coowon，CocCoc，Uran，QQBrowser，Orbitum，Slimjet，Iridium，Vivaldi，Chromium，GhostBrowser，CentBrowser，Xvast，Chedot，SuperBird，360Browser，360Chrome，Dragon，Brave-Browser，Torch，UCBrowser，Blisk，Epic Privacy Browser，YandexBrowser，Nichrome，Amigo，Kometa，Xpom，Elements Browser，Edge，Opera，Liebao7，AVAST，SlimBrowser，FileZilla，Pidgin，Firefox，Waterfox，Thunderbird，SeaMonkey，SeaMonkey，CyberFox，icecat，PostBox，PaleMoon。

9.数据回传除了邮件，还有 FTP 和 Telegram API 两种方式。