Snake 键盘记录器新变种攻击国内用户

Snake Keylogger恶意软件的新变种正被用来攻击位于中国、土耳其、印度尼西亚和西班牙的 Windows 用户。

Fortinet FortiGuard 实验室表示，自今年年初以来，新版本恶意软件已在全球范围内阻止了超过 2.8 亿次感染尝试。

安全研究员 Kevin Su表示：“Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼电子邮件进行传播，旨在通过记录击键、捕获凭据和监视剪贴板来窃取 Chrome、Edge 和 Firefox 等流行网络浏览器中的敏感信息。”

它的其他功能允许它使用简单邮件传输协议 (SMTP) 和 Telegram 机器人将被盗信息泄露到攻击者控制的服务器，从而允许威胁行为者访问被盗凭据和其他敏感数据。”

最新一轮攻击的显著特点是，它利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是 AutoIt 编译的二进制文件，因此可以绕过传统的检测机制。

Su 补充道：“使用 AutoIt 不仅通过将有效载荷嵌入已编译脚本中使静态分析变得复杂，而且还能够实现模仿良性自动化工具的动态行为。”

一旦启动，Snake Keylogger 便会将其自身副本放入“%Local_AppData%supergroup”文件夹中名为“ageless.exe”的文件中。它还会继续将另一个名为“ageless.vbs”的文件放入 Windows 启动文件夹中，这样 Visual Basic 脚本 (VBS) 便会在每次系统重新启动时自动启动该恶意软件。

通过这种持久机制，即使相关进程终止，Snake Keylogger 也能够维持对受感染系统的访问并恢复其恶意活动。

攻击链最终使用一种名为“进程挖空”的技术将主要负载注入合法的 .NET 进程（例如“regsvcs.exe”），从而允许恶意软件隐藏其在受信任进程中的存在并绕过检测。

此外，还发现 Snake Keylogger 会记录击键并使用 checkip.dyndns[.]org 等网站来检索受害者的 IP 地址和地理位置。

Snake 键盘记录器变种 “为了捕获击键，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个监控击键的低级键盘钩子，”Su 说。“这种技术允许恶意软件记录敏感输入，例如银行凭证。”

CloudSEK 详细介绍了一项活动，该活动利用与教育机构相关的受损基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署Lumma Stealer恶意软件。

该活动针对金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。

安全研究员 Mayank Sahariya表示： “该活动的主要感染媒介是使用恶意 LNK（快捷方式）文件，这些文件被制作成看似合法的 PDF 文档”，并补充说，这些文件托管在 WebDAV 服务器上，毫无戒心的访问者在访问网站后会被重定向到该服务器。

而 LNK 文件则执行 PowerShell 命令来连接到远程服务器并检索下一阶段的恶意软件，这是一个混淆的 JavaScript 代码，其中隐藏着另一个 PowerShell，可从同一服务器下载 Lumma Stealer 并执行它。

最近几周，我们还发现窃取恶意软件通过混淆的 JavaScript 文件进行传播，从受感染的 Windows 系统中收集大量敏感数据，并将其泄露给攻击者操作的 Telegram 机器人。

Cyfirma表示：“攻击始于一个混淆的 JavaScript 文件，该文件从开源服务中获取编码字符串以执行 PowerShell 脚本。”

“然后，该脚本会从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，这两个文件都包含使用隐写技术嵌入的恶意 MZ DOS 可执行文件。一旦执行，这些有效负载就会部署窃取恶意软件。”

详细技术分析：https://www.fortinet.com/blog/threat-research/fortisandbox-detects-evolving-snake-keylogger-variant