Snake Keylogger: Nova varijanta pokreće 280 miliona napada

AUTOR · Published · Updated

Snake Keylogger, sofisticirana varijanta zlonamjernog softvera, ponovo se pojavila u novoj kampanji napada koja cilja korisnike popularnih internet pretraživača kao što su Chrome, Edge i Firefox. Ovaj zlonamjerni softver krade osjetljive korisničke informacije bilježenjem pritisaka na tastere (eng. keylogging) i praćenjem aktivnosti međuspremnika (eng. clipboard) pokazuju posmatranja kompanije Fortinet.

Snake Keylogger

Snake Keylogger: Nova varijanta pokreće 280 miliona napada; Source: Bing Image Creator

SNAKE KEYLOGGER

Snake Keylogger (poznat još kao 404 Keylogger) je zlonamjerni softver napisan u .NET okruženju, prvi put je otkriven u novembru 2020. godine. Ovo je vrsta zlonamjernog softvera dizajnirana za hvatanje i snimanje pritisaka na tastere, krađu sačuvanih akreditiva, snimanje snimaka ekrana i praćenje sadržaja međuspremnika na zaraženim sistemima. Ovaj zlonamjerni softver je posebno opasan, jer se može koristiti za krađu osjetljivih informacija kao što su lozinke, brojevi kreditnih kartica i drugi povjerljivi podaci.

 

Distribucija nove varijante

Metoda distribucije koju koristi nova varijanta Snake Keylogger zlonamjernog softvera prvenstveno se oslanja na taktiku poznatu kao društveni inženjering korištenjem phishing metode putem elektronske pošte. Ova tehnika se oslanja na povjerenje korisnika i nedostatak svesti o potencijalnim prijetnjama koje se kriju u naizgled bezopasnim porukama.

U slučaju Snake Keylogger zlonamjernog softvera, elektronske poruke su pažljivo napravljene da izgledaju kao da potiču iz pouzdanih izvora kao što su banke, internet stranice za internet trgovinu, vladine agencije ili čak od prijatelja i kolega. Predmeti ovih elektronskih poruka su često sadržaji hitne prirode ili fraze koje privlače pažnju dizajnirane da podstaknu primaoca da otvori elektronsku poruku bez primjene opreza. Kada se otvore, ovi prilozi mogu da sadrže zlonamjerne makroe, skripte ili izvršne datoteke prerušene u legitimne dokumente kao što su fakture, priznanice ili ažuriranja softvera. Alternativno, elektronska pošta može da sadrži veze koje vode do ugrožene internet lokacije na kojoj se nalazi korisni teret (eng. payload) zlonamjernog softvera.

U svakom slučaja, kada korisnik stupi u interakciju sa ovim zlonamjernim elementima, on nesvjesno preuzima i izvršava Snake Keylogger zlonamjerni softver na svoj sistem. Neophodno je napomenuti da phishing elektronsku pošta nije uvijek lako identifikovati kao lažnu. Zlonamjerni akteri su postali sve napredniji u svojim taktikama, često koristeći ubjedljive grafike, logotipe, jezik i način komunikacije kako bi njihove poruke izgledale autentično.

Sigurnosni istraživači su evidentirali preko 280 miliona blokiranih pokušaja infekcije Windows operativnih sistema širom sveta od početka godine, naglašavajući globalni uticaj ove prijetnje. Analize pokazuju da su najviše pogođeni korisnici u Kini, Turskoj, Indoneziji, Tajvanu i Španiji.

 

Funkcionisanje

Sigurnosni istraživači su primijetili da najnovija varijanta Snake Keylogger zlonamjernog softvera koristi napredne taktike za izbjegavanje otkrivanja i uklanjanja. Umjesto direktnog izvršavanja zlonamjernog kôda, Snake Keylogger zlonamjerni softver ugrađuje svoj teret u AutoIt skriptu. AutoIt je skrptni jezik koji se obično koristi za automatizaciju operativnog sistema Windows, ali u ovom slučaju i kao sloj za zamagljivanje zlonamjernog kôda. Jednom u sistemu, zlonamjerni softver evidentira pritiske na tastere, krade sačuvane lozinke iz pretraživača kao što su Chrome, Edge i Firefox i eksfiltrira podatke putem elektronske pošte (SMTP) i Telegram botova.

Zlonamjerni softver uz pomoć AutoIt skripte primjenjuje tehniku ubacivanja zlonamjernog kôda u legitimne procese (eng. process hollowing) da bi ubacio svoj zlonamjerni kôd u legitimni Windows proces pod nazivom RegSvcs.exe, što ga dalje čini legitimnim procesom za antivirusni softver. Ovaj metod mu omogućava da radi u pozadini neotkriven dok nastavlja da prikuplja osjetljive informacije iz kompromitovanog sistema. Pored toga, da bi zadržala postojan pristup, ova verzija Snake Keylogger zlonamjernog softvera nakon uspješne infekcije ispušta kopiju sebe u direktorijum za pokretanje (eng. startup folder) operativnog sistema Windows. Kao rezultat, automatski se pokreće svaki put kada se sistem ponovo pokrene, osiguravajući njegov kontinuirani rad unutar ciljane mreže ili uređaja.

Kako bi prikupio što je moguće više osjetljivih informacija, Snake Keylogger zlonamjerni softver aktivno nadgleda podatke internet pregledača pristupajući direktorijumima u kojima se čuvaju sačuvani akreditivi i informacije o automatskom popunjavanju, uključujući detalje o kreditnoj kartici. Ovo mu omogućava da prikupi mnoštvo dragocjenih podataka za zlonamjerne aktere, što potencijalno dovodi do značajnih finansijskih gubitaka ili krađe identiteta za pogođene korisnike.

 

Uticaj

Nova varijanta ozloglašenog zlonamjernog softvera Snake Keylogger otkrivena je u preko 280 miliona pokušaja infekcije Windows operativnih sistema širom sveta, što naglašava široko rasprostranjen uticaj i sofisticiranost ovog zlonamjernog softvera za krađu akreditiva. Uz napredne taktike izbjegavanja otkrivanja koje otežavaju tradicionalnim bezbjednosnim rješenjima da otkriju i uklone prijetnju, dolazi i upozorenje sigurnosnih istraživača da je ova nova verzija Snake Keylogger zlonamjernog softvera neuhvatljivija od svojih prethodnika. Ovo naglašava potrebu za dobrim i pouzdanim obavještajnim podacima o prijetnjama i naprednim mehanizmima za otkrivanje.

Uticaj ove nove varijante prevazilazi krađu akreditiva i ličnih podatke. Mogućnost zlonamjernog softvera da sazna javnu IP adresu žrtve pingovanjem se može koristiti za grubu geolokaciju, potencijalno pružajući zlonamjernim akterima vrijedne obavještajne podatke o njihovim metama. Ove informacije bi se mogle iskoristiti u ciljanim napadima ili bi mogle biti prodate prodati na mračnom internetu, što dodatno povećava prijetnju koju predstavlja Snake Keylogger zlonamjerni softver.

Globalni domet ove kampanje velikog uticaja je značajan podsjetnik na međusobno povezane prirode današnjeg digitalnog sveta. Kako zlonamjerni akteri nastavljaju da usavršavaju svoje taktike i proširuju svoje operacije, postaje sve važnije za pojedince i organizacije da budu na oprezu protiv pokušaja krađe identiteta i da osiguraju da njihovi sistemi budu opremljeni najsavremenijim mehanizmima zaštite.

 

ZAKLJUČAK

Zlonamjerni softver Snake Keylogger predstavlja značajnu prijetnju po sajber bezbjednost, posebno za preduzeća širom sveta. Ovaj napredni zlonamjerni softver je dizajniran da izbjegne otkrivanje zloupotrebom alata za automatizaciju, što otežava tradicionalnim bezbjednosnim mjerama da ga identifikuju i neutrališu.

Primarni način rada Snake Keylogger zlonamjernog softvera uključuje hvatanje osjetljivih informacija kao što su bankarski akreditivi, lozinke uskladištene u sistemima za automatsko popunjavanje internet pregledača, brojevi kreditnih kartica, pa čak i sadržaj međuspremnika. Na ovaj način zlonamjerni akteri dolaze do značajnih vrijednih podataka o svojim metama koje mogu dalje zloupotrebljavati u ciljanim napadima ili za prodaju na mračnom internetu drugim zlonamjernim akterima.

Jedna od ključnih strategija koje koristi Snake Keylogger zlonamjerni softver je postojanost na inficiranom uređaju. Ovo osigurava da se zlonamjerni softver nakon ponovnog pokretanja uređaja automatski pokreće, čime zadržava svoje prisustvo u inficiranom sistemu čak i nakon pokušaja uklanjanja ili čišćenja infekcije. Važno je naglasiti da zlonamjerni akteri koji stoje iza Snake Keylogger zlonamjernog softvera pokazuju razumijevanje naprednih tehnika kao što su tehnika ubacivanja zlonamjernog kôda u legitimne procese i šifrovano pisanje skripti. Ove taktike omogućavaju zlonamjernom softveru da izbjegne detekciju od strane bezbjednosnog softvera povećavajući mogućnosti krađe podataka.

U svjetlu ovih dešavanja, ključno je da organizacije ostanu budne i da shodno tome prilagode svoje strategije sajber bezbjednosti. Ovo uključuje informisanje o novim prijetnjama kao što je Snake Keylogger zlonamjerni softver, primjenu višeslojnih odbrambenih sistema koji mogu da otkriju i reaguju na napredne prijetnje i edukaciju zaposlenih o važnosti bezbjednih internet praksi i prepoznavanje potencijalnih phishing pokušaja.

 

ZAŠTITA

U današnjem digitalnom dobu, sajber bezbjednost je najvažnija. Zato imajući u vidu prijetnju Snake Keylogger zlonamjernog softvera, dizajniranog za krađu osjetljivih podataka, u nastavku slijedi nekoliko korisnih koraka pomoću kojih je moguće zaštiti digitalni prostor od ove zlonamjerne prijetnje:

  1. Obratiti pažnju na elektronske poruke nepoznatih pošiljalaca, posebno one koje sadrže priloge ili veze. Ako poruka elektronske pošte izgleda sumnjivo, ne treba otvarati prilog ili kliknuti na vezu. Umjesto toga, provjeriti identitet pošiljaoca prije preduzimanja bilo kakve radnje;
  2. Koristiti složene lozinke koje uključuju mješavinu slova, brojeva i simbola. Razmisliti o korištenju menadžera lozinki da bi se bezbjedno čuvale lozinke. Omogućiti autentifikaciju u dva korak (eng. two-factor authentication – 2FA) kad god je to moguće, jer dodaje još jedan sloj sigurnosti korisničkim nalozima;
  3. Uvjeriti se da su operativni sistem, internet pregledač i antivirusni softver ažurni. Redovna ažuriranja često uključuju ispravke za poznate ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je Snake Keylogger;
  4. Dobro antivirusno rješenje može pomoći u otkrivanju i uklanjanju potencijalnih prijetnji pre nego što nanesu štetu sistemu. To podrazumjeva da antivirusno rješenje ima zaštitu u realnom vremenu od poznatih prijetnji zlonamjernog softvera, kao i mogućnosti analize ponašanja i heuristike za otkrivanje novih ili nepoznatih prijetnji;
  5. Redovno provjeravati sistem da li ima bilo kakvih neuobičajenih aktivnosti ili promjena. Ako postoji sumnja da je uređaj kompromitovan, odmah izolovati uređaj od ostataka mreže i pokrenuti potpuno skeniranje sistema pomoću antivirusnog softvera;
  6. Preuzimati softver samo iz pouzdanih izvora. Primjenjivati oprez kada je riječ o besplatnom i dijeljenom softveru (eng. shareware), jer oni često dolaze u paketu sa zlonamjernim programima. Uvijek pročitajte odredbe i uslove prije instaliranja bilo kog softvera kako bi se dobile informacije o mogućem rizičnom ili neželjenom sadržaju koji dolazi uz softver;
  7. Redovno praviti rezervne kopije važnih podataka na eksternom čvrstom disku ili servisu za skladištenje u oblaku. U slučaju uspješnog napada, nedavna rezervna kopija može pomoći da brzo povrate izgubljeni podaci;
  8. Sajber bezbjednost nije samo zaštita sebe, takođe se radi o pomaganju drugima da ostanu bezbjedni na internetu. Dijeljenjem ovih preporuka sa prijateljima, porodicom i kolegama proširuje se svijest o zlonamjernom softveru Snake Keylogger i drugim sajber prijetnjama, smanjujući njihov zlonamjerni uticaj u digitalnom prostoru.

Dok digitalni svijet nudi bezbroj mogućnosti za rast i povezivanje, on takođe predstavlja značajne rizike. Prateći ove preporuke, moguće je značajno smanjiti rizik da se postane žrtva Snake Keylogger zlonamjernog softvera ili sličnih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.