Snake Keylogger-Variante
Eine neue Variante des Snake Keyloggers zielt aktiv auf Windows-Benutzer in China, der Türkei, Indonesien, Taiwan und Spanien ab. Forscher haben diese neue Version verfolgt und sie seit Jahresbeginn mit alarmierenden 280 Millionen Infektionsversuchen weltweit in Verbindung gebracht, was ihre weitreichenden Auswirkungen unterstreicht.
Inhaltsverzeichnis
Die Phishing-Falle: So verbreitet sich der Snake-Keylogger
Die primäre Übermittlungsmethode für den Snake Keylogger sind nach wie vor Phishing-E-Mails mit bedrohlichen Anhängen oder Links. Die Malware erhält Zugriff auf die Systeme ahnungsloser Benutzer, sobald diese mit diesen betrügerischen E-Mails interagieren. Der Schwerpunkt liegt auf der Erfassung vertraulicher Daten aus weit verbreiteten Webbrowsern wie Chrome, Edge und Firefox. Dies wird erreicht, indem Tastatureingaben aufgezeichnet, Anmeldeinformationen erfasst und die Zwischenablageaktivität überwacht werden.
Datenexfiltration über unkonventionelle Kanäle
Der Snake Keylogger beschränkt sich nicht nur auf das Sammeln von Informationen – er sorgt dafür, dass die gestohlenen Daten die Angreifer auch über unkonventionelle Kanäle erreichen. Die exfiltrierten Anmeldeinformationen und vertraulichen Details werden über das Simple Mail Transfer Protocol (SMTP) oder Telegram-Bots übertragen. Durch die Verwendung dieser Methoden sorgt die Malware für einen stetigen Fluss gestohlener Informationen an die von den Angreifern kontrollierten Server und umgeht dabei einige traditionelle Sicherheitsmaßnahmen.
AutoIt: Eine clevere Ausweichtechnik
Was diese jüngste Angriffswelle auszeichnet, ist die Verwendung der Skriptsprache AutoIt zur Ausführung der primären Nutzlast. Die Malware ist in eine von AutoIt kompilierte Binärdatei eingebettet, wodurch sie herkömmlichen Erkennungsmechanismen entgeht. Dieser Ansatz erschwert nicht nur die statische Analyse, sondern ermöglicht auch dynamisches Verhalten, das legitime Automatisierungstools genau nachahmt und so seine Präsenz weiter verschleiert.
Persistenz auf kompromittierten Systemen etablieren
Nach der Ausführung sorgt der Snake Keylogger dafür, dass er auf dem infizierten System aktiv bleibt. Er legt eine Kopie von sich selbst als „ageless.exe“ im Verzeichnis „%Local_AppData%\supergroup“ ab. Um seinen Einflussbereich zu stärken, legt er außerdem eine Visual Basic Script (VBS)-Datei mit dem Namen „ageless.vbs“ im Windows-Startup-Ordner ab. Dadurch wird sichergestellt, dass die Malware bei jedem Neustart des Systems automatisch neu gestartet wird, sodass sie auch dann bestehen bleibt, wenn ihre Prozesse beendet werden.
Process Hollowing: Sich vor aller Augen verstecken
In der letzten Phase des Angriffs wird die primäre Nutzlast mithilfe einer als Process Hollowing bekannten Technik in einen legitimen .NET-Prozess wie „regsvcs.exe“ eingeschleust. Auf diese Weise kann der Snake Keylogger unter dem Deckmantel eines vertrauenswürdigen Prozesses agieren, was seine Erkennung erheblich erschwert.
Protokollieren von Tastatureingaben und Verfolgen von Opfern
Neben dem Diebstahl von Anmeldeinformationen überwacht der Snake Keylogger auch die Benutzeraktivität, indem er Tastatureingaben protokolliert. Er nutzt die SetWindowsHookEx-API mit dem Flag WH_KEYBOARD_LL (Flag 13), einem Low-Level-Tastatur-Hook zum Erfassen von Tastatureingaben. Mit dieser Methode kann er vertrauliche Eingaben aufzeichnen, darunter Bankdaten und Passwörter. Darüber hinaus verwendet die Malware externe Dienste wie checkip.dyndns.org, um die IP-Adresse und den Standort des Opfers zu ermitteln, was seine Möglichkeiten zur Datenerfassung weiter verbessert.
Eine anhaltende und sich entwickelnde Bedrohung
Das Wiederauftauchen des Snake Keyloggers unterstreicht die sich entwickelnde Natur der Cyberbedrohungen. Durch die Nutzung neuer Techniken wie AutoIt-Skripting und Process Hollowing entgeht er weiterhin der Erkennung und gefährdet gleichzeitig eine große Anzahl von Systemen. Sich über seine Methoden zu informieren und beim Umgang mit E-Mails vorsichtig zu sein, ist nach wie vor entscheidend, um die mit dieser anhaltenden Bedrohung verbundenen Risiken zu mindern.
